GCP-无法通过身份验证来调用Google Cloud功能

Question

我有一个名为rad_format_text_v0的云函数。我（andy@onehot.io）有权调用它，如下所示：

$ gcloud beta functions get-iam-policy rad_format_text_v0
bindings:
- members:
  - allAuthenticatedUsers
  - user:andy@onehot.io
  role: roles/cloudfunctions.invoker
etag: BwWOSfjYxp0=
version: 1

我可以使用gcloud functions call ...

调用它

$ gcloud auth list
           Credentialed Accounts
ACTIVE             ACCOUNT
*                  andy@onehot.io

$ gcloud functions call rad_format_text_v0 --data "$(< test.json)"
executionId: 2wm7nrgc0vjo
result: |
  ["REDACTED successful result"]

但是，当我尝试使用另一个curl之类的HTTP客户端时，即使我传递了身份验证令牌，它也失败了...

$ curl -i -X POST "https://us-central1-onehot-autocoder.cloudfunctions.net/rad_format_text_v0" -H "Content-Type:application/json" -H "Authorization: bearer $(gcloud auth application-default print-access-token)" --data @test.json
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer error="invalid_token" error_description="The access token could not be verified"
Date: Mon, 22 Jul 2019 19:46:59 GMT
Content-Type: text/html; charset=UTF-8
Server: Google Frontend
Content-Length: 312
Alt-Svc: quic=":443"; ma=2592000; v="46,43,39"

<html><head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<title>401 Unauthorized</title>
</head>
<body text=#000000 bgcolor=#ffffff>
<h1>Error: Unauthorized</h1>
<h2>Your client does not have permission to the requested URL <code>/rad_format_text_v0</code>.</h2>
<h2></h2>
</body></html>

我完全按照documentation中的说明进行了操作。我不知道为什么我的令牌不起作用。

Answer 1

您正在使用gcloud auth application-default print-access-token来获取令牌，并且共享的文档指定您应该改用gcloud auth print-identity-token命令。

我对其进行了测试，发现无法将print-identity-token用于我的用户帐户。相反，我不得不create a new service account and activate it。然后在curl命令中，像下面的示例一样指定服务帐户：

curl -i https://[REGION]-[PROJECT_ID].cloudfunctions.net/[FUNCTION_NAME] -H "Authorization: bearer $(gcloud auth print-identity-token [SERVICE_ACCOUNT] )"

显然，Google Cloud SDK在版本254上的gcloud auth print-identity-token命令中存在问题，您也可以尝试使用以下命令将其降级：

gcloud components update --version 249.0.0