Компоновщик облака: PERMISSION_DENIED: у вызывающего абонента нет разрешения

Несколько задач я реализовал с помощью BashOperator. Те, у кого есть "gsutil rm" и "gsutil cp", работали нормально. Но один с "gcloud alpha firestore export" генерирует эту ошибку:

{bash_operator.py:101} INFO - ERROR: (gcloud.alpha.firestore.export) PERMISSION_DENIED: The caller does not have permission

Сама эта команда отлично работает в оболочке gcloud. Я попытался предоставить некоторые разрешения, связанные с Firestore, для учетной записи службы, используемой Composer, но это все еще не работает. Любая идея


google-cloud-firestore google-cloud-composer
person kee    schedule 09.09.2018    source источник

Ответы (9)


arrow_upward
3
arrow_downward

Попробуйте создать новую учетную запись службы с необходимыми разрешениями, связанными с Firestore, и использовать ее в только что созданной среде. https://cloud.google.com/composer/docs/how-to/access-control

Другие идеи отладки: * Попробуйте использовать ssh для рабочих Kubernetes в своей среде Composer и запустить команду. * Включен ли в вашем проекте API Firestore?

person Crystal Qian    schedule 10.09.2018

arrow_upward
7
arrow_downward

Возможно, у вас нет разрешений для определенного проекта.

Я получал следующую ошибку: PERMISSION_DENIED: Caller does not have required permission to use project project:random-id-11111.

Я решил это, выполнив gcloud config set project 'the-right-project-id', а затем фактическую команду gcloud.

person Roy Shilkrot    schedule 23.05.2019
comment
Установка идентификатора проекта сработала для меня - person James Okpe George; 09.12.2020

arrow_upward
4
arrow_downward

Я думаю, вам нужен доступ к Cloud Datastore Import Export. Ниже приведены шаги в соответствии с текущим макетом платформы Google Cloud.

https://console.cloud.google.com> Левый ящик> IAM и администратор> Против пользователя - Значок редактирования> Добавить другую роль> Хранилище данных> Импорт и экспорт Cloud Datastore> Сохранить

person Sanket Patel    schedule 10.09.2019

arrow_upward
3
arrow_downward

  1. Откройте https://console.cloud.google.com/iam-admin/iam
  2. Найдите учетную запись службы, которую вы используете для резервного копирования
  3. Добавьте роль владельца в сервисный аккаунт.

Это не совсем интуитивно или логично, потому что для Firestore нет разрешений или ролей.

К сожалению, мне потребовалось много времени, чтобы понять это. Надеюсь, это поможет другим!

person Gambo    schedule 26.09.2018
comment
firebase.google.com/docs/firestore/manage-data/export- import у него есть более определенные разрешения для экспорта firestore - person confiq; 26.10.2020
comment
Никогда не назначайте роль Владельца учетной записи службы. Вам нужна роль roles/cloudtrace.agent. cloud.google.com/trace/docs/iam#roles - person btilford; 12.02.2021

arrow_upward
1
arrow_downward

Как и в случае с ответом Роя, проблема для меня заключалась в том, что gcloud был настроен на другой проект.

проверьте, для какого проекта он настроен

gcloud config list

список, к каким проектам у вас есть доступ

список проектов gcloud

установить правильный проект

gcloud config установить проект 'foo-project'

person Julian Orinyol    schedule 12.07.2019
comment
работал у меня после настройки правильного проекта, в котором я хочу обновить среду композитора. - person Sohail Arif; 05.11.2020

arrow_upward
0
arrow_downward

вам нужно сначала установить свой проект, где вы являетесь владельцем gcloud config set project-id проекта Вы можете найти свой идентификатор проекта, нажав на консоль gcloud, он будет там во всплывающем окне в имени проекта-somerandomnumbers

person Sakshi Chauhan    schedule 20.08.2019

arrow_upward
0
arrow_downward

Предоставьте роль администратора firebase учетной записи службы по умолчанию, которую использует ваша служба.

Добавление роли владельца в учетную запись службы кажется слишком большой привилегией для простого резервного копирования.

person viggy28    schedule 24.06.2020

arrow_upward
0
arrow_downward

Я поймал это сегодня. Проблема заключалась в том, что я правильно настроил свою учетную запись службы в настройках IAM, но не понял, что на этот адрес электронной почты было отправлено приглашение, которое мне нужно было принять. Сработало сразу, как только я принял приглашение.

person Matt    schedule 20.07.2020

arrow_upward
0
arrow_downward

В IAM & Admin убедитесь, что ваш @ appspot.gserviceaccount.com должен иметь доступ к трем вещам:

  • Администратор облачных функций
  • Администратор импорта и экспорта Cloud Datastore
  • Администратор хранилища

введите описание изображения здесь

person Alessandro Santamaria    schedule 20.11.2020