Kubernetes 使用gcloud auth登录创建cred.json文件_Kubernetes_Google Cloud Platform_Google Kubernetes Engine

Kubernetes 使用gcloud auth登录创建cred.json文件

kubernetes google-cloud-platform

Kubernetes 使用gcloud auth登录创建cred.json文件,kubernetes,google-cloud-platform,google-kubernetes-engine,Kubernetes,Google Cloud Platform,Google Kubernetes Engine,我们可以使用gcloud auth login创建credentials.json文件吗。要求是-用户应在minikube中使用个人帐户，并在集群中使用cred.json文件作为机密。当前设置-对于qa，我们有一个服务帐户密钥，该密钥作为机密装载在gke集群上。要访问google cloud API，您需要一个OAuth2 access_令牌，您可以使用用户凭据生成它（并且在gcloud auth登录后）因此，您可以使用参数中的访问令牌直接调用或带有curl的示例编辑如前所述，使用gc

我们可以使用gcloud auth login创建credentials.json文件吗。要求是-用户应在minikube中使用个人帐户，并在集群中使用cred.json文件作为机密。

当前设置-对于qa，我们有一个服务帐户密钥，该密钥作为机密装载在gke集群上。

要访问google cloud API，您需要一个OAuth2 access_令牌，您可以使用用户凭据生成它（并且在

gcloud auth登录后

）

因此，您可以使用参数中的访问令牌直接调用或

带有curl的示例

编辑

如前所述，使用

gcloud auth login

创建的用户凭证今天只能创建访问令牌

访问Google API（包括Google云产品）需要访问令牌。如果它是您的用例，您可以使用它

但是，如果您需要id_令牌，例如访问私有云功能、私有云运行、IAP背后的应用程序引擎，则您不能（不是直接使用，如果您愿意，我可以对此进行修复）。

基于最小特权原则，每个开发人员都应该拥有自己的专用
GCP服务帐户：这样创建的帐户应该只分配必要的您可以使用以下命令为此帐户生成密钥： gcloud iam服务帐户密钥create key.json\ --iam帐户=${DEVELOPER\u USERNAME} key.json 谢谢，我的要求不同。我们有一个遗留代码库，其中服务密钥json作为机密装载并由pod使用。我想知道，作为一名开发人员，我是否有一个服务密钥，我是否可以使用“gcloud auth login”生成凭证json，并在我的minikube设置中将其用作开发目的的秘密。您好，我看到了您在其中一个答案下的评论，但我仍然对您试图实现的设置感到困惑。我是否正确理解您希望从GCP获取凭证，然后用于保密。minikube上的pod需要GCP提供的证书才能运行您的遗留软件吗？@Dawid-您的理解是正确的。当前服务帐户密钥在pod中作为机密装载。要求是-每个用户都可以创建与服务密钥类似的凭据密钥，而不是服务帐户密钥，并将其作为机密装载。@Dawid-想法是任何开发人员都不应该有权访问服务帐户密钥。 curl -H "Authorization: Bearer $(gcloud auth print-access-token)"