首页 文章

计算引擎的服务帐户没有足够的范围用于 Cloud 视觉api

提问于
浏览
3

我需要在我的python解决方案中使用Cloud Vision API,我一直在依赖API密钥,但目前我正在尝试为我的Compute Engine的默认服务帐户调用Vision所需的范围,到目前为止运气不大 .

我已通过cloud console在我的项目中启用了vision API,但我仍然收到403错误:

请求的身份验证范围不足 .

我会从我的gce的编辑详细信息选项卡中为每个API单独设置访问权限,但找不到其他API列出的Vision . 我设法从Vision API正确接收正确响应的唯一方法是通过标记“允许完全访问所有Cloud API”复选框,再次从我的gce的编辑详细信息选项卡,但这对我来说听起来不太安全 .

希望有更好的方法来做到这一点,但我找不到有关身份验证的Vision的文档,也没有关于堆栈溢出的任何问题(有些有一个密切的主题,但没有提出的答案非常适合我的情况,或提供一个有效的解决方案)

预先感谢您的帮助 .

gce's edit detail tab from goole cloud console

EDIT

我正在添加我可以在 Cloud 控制台的gce默认服务帐户中单独启用的每个API的列表:

BigQuery; Bigtable Admin; Bigtable数据; Cloud 数据存储; Cloud 调试器; Cloud Pub / Sub; Cloud 源存储库; Cloud SQL;计算引擎;服务控制;服务管理; Stackdriver日志API; Stackdriver Monitoring API; Stackdriver Trace;存储;任务队列;用户信息

它们似乎都没有对我的需求有用,尽管实现对它们的完全访问都能解决我的问题对我来说非常困惑 .

EDIT #2

我将尝试更简洁地陈述我的问题:如何将https://www.googleapis.com/auth/cloud-vision添加到我的gce实例的默认帐户?

我正在寻找一种方法,通过以下任何一种方式:GCP控制台,gcloud命令行,甚至通过Python(目前我正在使用googleapiclient.discovery.build,我不知道是否有任何通过图书馆询问视觉api范围的方法) .

或者只要通过IAM限制角色,是否可以启用所有范围?如果是这样的话,我该怎么做?

我真的找不到文档的方法,再次感谢你 .

python google-cloud-platform google-compute-engine google-cloud-vision

1 回答

  • 0

    Google Cloud API(视觉,自然语言,翻译等)不需要任何特殊权限,您只需在项目中启用它们(转到控制台中的API Library选项卡)并创建API密钥或服务帐户即可访问它们 .

    鉴于Service Accounts are the recommended approach for authentication with Google Cloud Platform services,您决定从API密钥转移到服务帐户是正确的,出于安全考虑,Google建议使用它们而不是API密钥 .

    话虽这么说,我看到你正在使用旧的Python API Client Libraries,它使用你提到的googleapiclient.discovery.build服务 . 截至目前,较新的idiomatic Client Libraries是推荐的方法,它们取代了您正在使用的旧版API客户端库,因此我强烈建议您朝着这个方向前进 . 它们更易于使用,更易于理解,更好地记录并且是the recommended approach to access Cloud APIs programatically .

    以此为出发点,我将这个答案分为两部分:

    Using Client Libraries

    如果您决定遵循我的建议并迁移到新的客户端库,那么鉴于客户端库使用应用程序默认凭据(ADC)进行身份验证,身份验证将非常简单 . ADC使用计算引擎的默认服务帐户来提供身份验证,因此您根本不必担心,因为默认情况下它会起作用 .

    一旦该部分清楚,您可以继续创建示例代码(例如documentation中可用的代码),并且一旦您测试一切正常工作,您就可以继续完成Vision API Client Library reference page以获得有关图书馆如何运作的信息 .

    Using (legacy) API Client Libraries 如果,尽管我的话,你想要坚持旧的API客户端库,你可能会对这个其他文档页面感兴趣,其中有一些关于Authentication using the API Client Libraries的完整信息 . 更具体地说,整整一章专门用于解释OAuth 2.0 authentication using Service Accounts .

    使用下面的简单代码,您可以使用the google.oauth2.service_account module从首选SA的JSON密钥文件加载凭据,指定所需的范围,并在构建Vision客户端时通过指定 credentials=credentials 使用它:

    from google.oauth2 import service_account
import googleapiclient.discovery

SCOPES = ['https://www.googleapis.com/auth/cloud-vision']
SERVICE_ACCOUNT_FILE = '/path/to/SA_key.json'

credentials = service_account.Credentials.from_service_account_file(
        SERVICE_ACCOUNT_FILE, scopes=SCOPES)

vision = googleapiclient.discovery.build('vision', 'v1', credentials=credentials)

    EDIT:

    我忘了添加它以便计算要能够使用Google API的引擎实例,必须使用 https://www.googleapis.com/auth/cloud-platform 范围授予它(事实上,这与选择允许对所有Cloud API的完全访问权限相同) . 这在GCE Service Accounts best practices中有记录,但你是对的this would allow full access to all resources and services in the project .

    或者,如果您担心允许"access-all"范围的影响,请在this other documentation page中解释您可以允许完全访问,然后执行IAM角色的限制访问 .

    在任何情况下,如果要将Vision范围 only 授予实例,可以通过运行以下 gcloud 命令来执行此操作:

    gcloud compute instances set-service-account INSTANCE_NAME --zone=INSTANCE_ZONE --scopes=https://www.googleapis.com/auth/cloud-vision

    对于任何其他Cloud API,可以从this page获取Cloud Vision API范围( https://www.googleapis.com/auth/cloud-vision ) .

    此外,如本节中有关SA permissions and access scopes所述,SA权限应符合实例范围;这意味着最严格的许可将适用,因此您也需要考虑到这一点 .

    回复于

相关问题