服务帐户无法访问AppEng发起的BQ查询结果
我的云功能,CF(使用服务帐户凭据,service-ACCOUNT@PROJECT-ID.iam.gserviceaccount.com)在AppEngine上运行的应用程序(使用应用程序引擎默认服务帐户凭据,项目)上启动查询时,无法获取BQ查询结果-ID@appspot.gserviceaccount.com)
api_请求引发异常中的文件“/env/local/lib/python3.7/site packages/google/cloud/_http.py”,第293行。来自谷歌的http响应(response)。api_核心。例外情况。禁止:403获得https://www.googleapis.com/bigquery/v2/projects/[项目]/queries/[BQ-JOB-ID]?maxResults=0:访问被拒绝:数据集[TEMP-Dataset-ID-Storeing-QUERY-RESULTS]:用户[SERVICE-ACCOUNT-EMAIL]无权访问其他用户作业的结果```
整个过程有两个部分(所有部分都使用PY3.x客户端库)
A部分:在AppEng Flexible env上运行。(Py3.x)启动BQ查询作业。插入。请求以将此作业id发布到Pubsub主题结束。
B部分:云函数(python37运行时,在此Pubsub事件上触发):
- STEP1:接收此查询job_id
PubsubMessage - STEP2:检查查询状态,直到完成,
job.done - STEP3:当DONE检索查询结果时
- 步骤4:获取查询结果后,进行最终处理(至少这是意图)
在STEP4我得到上面提到的错误(获得rrom堆栈驱动程序日志记录)
我承认即使
- 工作负责人<代码>项目-ID@appspot.gserviceaccount.com
是不同的,但两个谷歌帐户电子邮件都有项目编辑级别的权限,因此期望CF能够访问查询作业结果!更重要的是,当CF(使用服务帐户凭据)能够通过步骤2(job.get,轮询作业状态直到完成)时,只有查询结果的检索(步骤4)才会抛出错误
任何指导都是非常值得欣赏的!
共有1个答案
如果运行作业并使用不同标识的结果,请将结果持久化到指定的目标表。可以使用短TTL设置指定的数据集,以便在此之后自动删除表。默认情况下,缓存/匿名结果仅限于查询创建者。
BigQuery文档中提供了使用目标表构造查询的示例。
-
我有一个G套件域,并用域范围的授权打开一个服务号。服务号在项目中也有所有者身份。我启用gmail应用编程接口并添加范围参考(https://developers.google.com/admin-sdk/directory/v1/guides/delegation“将域范围的权限委托给您的服务号”)我也启用不太安全的应用程序设置。 这是我的代码: 但是当我使用这个令牌尝试列出电子邮件时:GETht
-
我正在尝试使用Google Directory API验证组成员,但每次我发出请求时都无法通过403错误。 我使用的是一个服务帐户,我为它启用了“启用G套件域范围委托”选项。我还使用套件中的客户端ID添加了“https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/admin.direc
-
我想使用gsutil和服务帐户在命令行上访问Goolge播放报告。有一个云存储URI,格式为gs://bucket\u name,我可以用我的用户帐户列出和下载报告,但不能用我创建的服务帐户。错误总是相同的: 我已向服务帐户授予了所有必需的权限,因此我不明白为什么用户帐户可以使用,而服务帐户却无法使用。 所以如果你知道如何帮助我,我会非常感谢你。
-
我正在调查AWS/Google云基础架构系统是否可以混合,我的要求之一是从一个系统到另一个系统的安全和简单的身份验证。目前,我需要从一个Google Cloud VM实例连接到一个受限的AWS S3 bucket。 我的问题通常是:有没有办法做到这一点,什么是最好的方法。我相信每个人都希望有机会使用多个云提供商为他们的基础设施提供高安全性、易用性和维护性。 经过一些研究,我发现唯一可能的方法是通过
-
我正在工作上传文件在谷歌驱动器与服务帐户,我能够插入文件在谷歌驱动器,但我不能查看该文件在谷歌驱动器。 我是创建abc@gmail.com。用abc@gmail.com创建一个服务帐户。有了P12证书和服务客户端电子邮件id,我可以在驱动器中插入文件。但无法在abc@gmail.com的谷歌驱动器上看到该文件。当fatch从应用程序中的文件列表时,它将显示5个文件,但在我的abc@gmail.co
-
我正在尝试使用服务帐户访问目录API(https://developers.google.com/admin-sdk/Directory/v1/reference/users/list)。最简单的任务是列出组织中的用户。通过OAuth2.0 PlayGorund测试,这在我的用户帐户中运行良好。但我需要使用服务帐户。我正在阅读关于双腿OAuth(https://developers.google.