Google cloud platform GKE/Cloud IAM工作负载标识设置错误403
我们已经为一个基于Java/Tomcat的应用程序设置了一个CloudSQL代理作为一个侧车容器 下面是我们如何设置工作负载标识,以使我们的应用程序能够通过CloudSQL代理连接到CloudSQL:Google cloud platform GKE/Cloud IAM工作负载标识设置错误403,google-cloud-platform,google-kubernetes-engine,google-cloud-iam,cloud-sql-proxy,Google Cloud Platform,Google Kubernetes Engine,Google Cloud Iam,Cloud Sql Proxy,我们已经为一个基于Java/Tomcat的应用程序设置了一个CloudSQL代理作为一个侧车容器 下面是我们如何设置工作负载标识,以使我们的应用程序能够通过CloudSQL代理连接到CloudSQL: 已创建云IAM服务帐户并授予其SQL客户端权限: 设置策略绑定,如下所示: gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member &quo
gcloud iam service-accounts add-iam-policy-binding \
--role roles/iam.workloadIdentityUser \
--member "serviceAccount:[PROJECT_ID].svc.id.goog[default/default]" \
[GSA_NAME]@[PROJECT_ID].iam.gserviceaccount.com
kubectl annotate serviceaccount \
--namespace [K8S_NAMESPACE] \
[KSA_NAME] \
iam.gke.io/gcp-service-account=[GSA_NAME]@[PROJECT_ID].iam.gserviceaccount.com
kubectl run --rm -it \
--generator=run-pod/v1 \
--image google/cloud-sdk:slim \
--serviceaccount [KSA_NAME] \
--namespace [K8S_NAMESPACE] \
workload-identity-test
Error 403: The client is not authorized to make this request., notAuthorized
事实证明,谷歌云中的IAM似乎影响了服务账户