Google Cloud Tasks не может пройти аутентификацию в Cloud Run

У меня была такая же проблема, вот и мое исправление:

Диагностика. Создание токенов OIDC в ​​настоящее время не поддерживает пользовательские домены в параметре audience. Я использовал личный домен для своей облачной службы (https://my-service.my-domain.com) вместо URL-адреса, сгенерированного облачным запуском (находится на панели управления облачной службы), который выглядит следующим образом: https://XXXXXX.run.app

Поведение при маскировке: если задача ставится в очередь в облачные задачи, если поле audience для oidc_token не задано явно, то целевой URL из задачи используется для установки audience в запросе на токен OIDC. .

В моем случае это означало, что постановка задачи в очередь для отправки целевой https://my-service.my-domain.com/resource аудитории для генерации токена OIDC была установлена ​​в мой личный домен https://my-service.my-domain.com/resource. Поскольку пользовательские домены не поддерживаются при генерации токенов OIDC, я получал 401 not authorized ответов от целевой службы.

Мое исправление: явным образом заполните аудиторию URL-адресом, созданным Cloud Run, чтобы выдать действительный токен. В моем клиенте я смог глобально настроить аудиторию для всех задач, нацеленных на данную службу, с базовым URL: 'audience' : 'https://XXXXXX.run.app'. Это сгенерировало действительный токен. Мне не нужно было менять URL-адрес самого целевого ресурса. Ресурс остался прежним: 'url' : 'https://my-service.my-domain.com/resource'

Дополнительная информация. Я уже сталкивался с этой проблемой раньше при настройке межсетевой аутентификации: Google Cloud Run Authentication Service-to-Service

1. С помощью этого кода я создал службу запуска частного облака. :

import os

from flask import Flask
from flask import request


app = Flask(__name__)

@app.route('/index', methods=['GET', 'POST'])
def hello_world():
    target = os.environ.get('TARGET', 'World')
    print(target)
    return str(request.data)

if __name__ == "__main__":
    app.run(debug=True,host='0.0.0.0',port=int(os.environ.get('PORT', 8080)))
   

2. Я создал учетную запись службы с --role=roles/run.invoker, которую я свяжу с облачной задачей.

 gcloud iam service-accounts create SERVICE-ACCOUNT_NAME \
 --display-name "DISPLAYED-SERVICE-ACCOUNT_NAME"  
 gcloud iam service-accounts list

 gcloud run services add-iam-policy-binding SERVICE \
 --member=serviceAccount:[email protected] \ 
 --role=roles/run.invoker 

3.Я создал очередь

gcloud tasks queues create my-queue

4. Я создаю test.py

from google.cloud import tasks_v2
from google.protobuf import timestamp_pb2
import datetime

# Create a client.
client = tasks_v2.CloudTasksClient()

# TODO(developer): Uncomment these lines and replace with your values.
project = 'your-project'
queue = 'your-queue'
location = 'europe-west2' # app engine locations
url = 'https://helloworld/index'
payload = 'Hello from the Cloud Task'

# Construct the fully qualified queue name.
parent = client.queue_path(project, location, queue)

# Construct the request body.
task = {
        'http_request': {  # Specify the type of request.
            'http_method': 'POST',
            'url': url,  # The full url path that the task will be sent to.
            'oidc_token': {
                'service_account_email': "your-service-account"
            },
             'headers' : {
             'Content-Type': 'application/json',
           }
        }
}

# Convert "seconds from now" into an rfc3339 datetime string.
d = datetime.datetime.utcnow() + datetime.timedelta(seconds=60)

# Create Timestamp protobuf.
timestamp = timestamp_pb2.Timestamp()
timestamp.FromDatetime(d)

# Add the timestamp to the tasks.
task['schedule_time'] = timestamp
task['name'] = 'projects/your-project/locations/app-engine-loacation/queues/your-queue/tasks/your-task'


converted_payload = payload.encode()

# Add the payload to the request.
task['http_request']['body'] = converted_payload


# Use the client to build and send the task.
response = client.create_task(parent, task)

print('Created task {}'.format(response.name))
#return response

5. Я запускаю код в Google Cloud Shell с моей учетной записью пользователя с ролью владельца.

6. Полученный ответ имеет вид:

Created task projects/your-project/locations/app-engine-loacation/queues/your-queue/tasks/your-task

7.Проверьте логи, успех

На следующий день я больше не могу воспроизвести эту проблему. Я могу воспроизвести 403 ответа, удалив роль Cloud Run Invoker, но я больше не получаю 401 ответ с точно таким же кодом, как вчера. Полагаю, это была временная проблема со стороны Google?

Кроме того, я заметил, что до того, как обновленные политики вступят в силу, требуется некоторое время (1-2 минуты).

Для тех, кто, как я, борется с документацией и stackoverflow при наличии непрерывных UNAUTHORIZED ответов на HTTP-запросы Cloud Tasks:

Как было написано в ветке, вам лучше предоставить audience для oidcToken, которые вы отправляете в CloudTasks. Убедитесь, что запрошенный URL-адрес точно соответствует вашему ресурсу.

Например, если у вас есть облачная функция с именем my-awesome-cloud-function, а URL-адрес запроса задачи - https://REGION-PROJECT-ID.cloudfunctions.net/my-awesome-cloud-function/api/v1/hello, вам необходимо убедиться, что вы установили сам URL-адрес функции.

{ 
  serviceAccountEmail: [email protected],
  audience: https://REGION-PROJECT-ID.cloudfunctions.net/my-awesome-cloud-function 
}

В противном случае кажется, что используется полный URL-адрес, что приводит к ошибке.