在新的GKE群集上(通过https://deploy.kubeflow.cloud安装Kubeflow 0.7之后,我已经根据各自的教程配置了OAuth和Workload Identity。
在管道上,我必须从同一项目访问GCS存储桶,看来我无权执行此操作。
但是,集群确实具有访问GCR的权限,并且存储权确实可以下载并安装Docker映像并运行代码。当从代码请求时,即使这些存储桶在同一项目中,它也无法从其他存储桶下载。
代码使用默认的身份验证方法:
storage_client = storage.Client(project_id)
bucket = storage_client.get_bucket(bucket)
有人对BigQuery(在下载这些文件后将对其进行访问)有如何解决和防止这种情况的想法吗?
google.api_core.exceptions.Forbidden: 403 GET https://storage.googleapis.com/storage/v1/b/$BUCKET?projection=noAcl Primary: /namespaces/$PROJECT_ID.svc.id.goog with additional claims does not have storage.buckets.get access to $BUCKET.
答案 0 :(得分:0)
好,对于有类似问题的任何人。我忘了在代码step.apply(gcp.use_gcp_secret('user-gcp-sa'))
这甚至适用于kfp.components.load_component_from_file()
感谢这一点,这归功于kubeflow松弛频道上的杰出人士!