本文旨在提供一份全面的教程,指导开发者如何在Python环境中实现Google Cloud Workload Identity Federation (WIF) 的客户端凭证配置。我们将探讨如何替代`gcloud iam workload-identity-pools create-cred-config`命令行工具,利用`google.auth.external_account`库程序化地生成用于AWS等外部身份提供商的凭证对象,并详细介绍两种实现路径:直接在Python应用中使用凭证对象,以及手动构建并保存兼容的JSON配置文件,从而在云函数或Python应用中无缝集成外部身份认证。
Google Cloud Workload Identity Federation (WIF) 允许您将运行在非Google Cloud环境(如AWS、Azure、本地数据中心或其他SaaS提供商)中的工作负载,使用其现有的身份验证系统(例如AWS IAM角色),直接向Google Cloud进行身份验证,而无需使用服务账号密钥。这显著提升了安全性,因为它消除了管理长期凭证的需要。
当您的外部工作负载需要访问Google Cloud资源时,它们需要一种方式来获取Google Cloud的访问令牌。gcloud iam workload-identity-pools create-cred-config命令的作用就是生成一个客户端配置文件(通常是JSON格式),该文件描述了如何从外部身份提供商获取凭证,并将其交换为Google Cloud的访问令牌。这个文件通常用于配置Google Cloud客户端库,以便它们能够自动处理身份验证流程。
例如,对于AWS环境,gcloud命令可能如下所示:
立即学习“Python免费学习笔记(深入)”;
gcloud iam workload-identity-pools create-cred-config \ projects/$PROJECT_NUMBER/locations/global/workloadIdentityPools/$IDENTITY_POOL/providers/$IDENTITY_POOL_PROVIDER \ --service-account=$SA \ --output-file=$ClientConfig \ --aws
这个命令会生成一个JSON文件,其内容类似于:
{
"type": "external_account",
"audience": "//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL/providers/IDENTITY_POOL_PROVIDER",
"subject_token_type": "urn:ietf:params:oauth:token-type:aws-role",
"token_url": "https://sts.googleapis.com/v1/token",
"credential_source": {
"environment_id": "aws",
"url": "http://169.254.169.254/latest/meta-data/iam/security-credentials/",
"regional_url_template": "https://sts.{region}.amazonaws.com?Action=GetCallerIdentity&Version=2011-06-15",
"imdsv2_session_token_url": "http://169.254.169.254/latest/api/token",
"imdsv2_session_token_headers": {
"x-aws-ec2-metadata-token": "..."
}
},
"service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateAccessToken"
}该文件包含了客户端库与Workload Identity Federation交互所需的所有信息。
在Python中,Google Cloud SDK提供了丰富的客户端库来与各种Google Cloud服务进行交互。然而,针对gcloud iam workload-identity-pools create-cred-config这样直接生成配置文件的特定命令,官方SDK中并没有一个完全对应的API来执行相同的操作并输出相同格式的文件。
原始问题中提及的iam_v1导入错误(Could not create or update Cloud Run service... Container Healthcheck failed.)通常与部署环境或依赖问题有关,而非直接用于生成WIF客户端配置。google.cloud.iam_v1是IAM服务本身的客户端库,用于管理IAM策略、角色等,而不是用于生成Workload Identity Federation的客户端配置。对于Workload Identity Federation的身份验证流程,我们主要依赖google.auth及其子包。
尽管没有直接的SDK方法来生成与gcloud命令完全一致的配置文件,但我们可以利用google.auth.external_account库来程序化地实现相同的功能,即获取用于Workload Identity Federation的凭证。这个库是Google Auth库的一部分,专门设计用于处理来自外部身份提供商的凭证。
google.auth.external_account.ExternalAccountCredentials类允许我们通过提供必要的参数来构建一个凭证对象,这些参数与gcloud命令中的概念是对应的:
如果您希望在Python应用程序中直接获取并使用认证凭证,而无需生成中间的JSON配置文件,那么这种方法是最推荐的。ExternalAccountCredentials对象可以直接传递给Google Cloud客户端库,使其能够自动处理身份验证。
示例代码:
import json from google.auth.external_account import ExternalAccountCredentials from google.auth.transport.requests import Request from google.auth import default # --- 配置参数 (请替换为您的实际值) --- PROJECT_NUMBER = "YOUR_PROJECT_NUMBER" # 您的GCP项目编号 IDENTITY_POOL = "YOUR_IDENTITY_POOL_NAME" # 您的工作负载身份池名称 IDENTITY_POOL_PROVIDER = "YOUR_IDENTITY_POOL_PROVIDER_NAME" #
以上就是在Python中配置GCP工作负载身份联合凭证:从gcloud命令到SDK实现的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
104
收藏
