我们处于这样的情况下,只有我们的k8s吊舱获得了访问数据存储的权限。没有其他用户帐户或服务帐户具有修改数据存储区所需的权限。
我需要在数据存储区上创建索引。由于我没有执行此操作所需的权限,因此我想知道是否存在一种从授权Pod运行gcloud datastore indexes create indexes.yaml的机制。
答案 0 :(得分:3)
简单的Compute Engine + gcloud和工作负载身份+ gcloud之间没有区别
您可以看到此说明here
Workload Identity拦截对Compute Engine元数据服务器的调用,以将工作负载标识池凭据交换为来自相关GSA的凭据
因此,基于元数据服务器的Gcloud的默认身份验证机制是完全相同的。