不同项目中的云存储桶触发云功能

Question

我有一个要求，我需要触发一个云功能，一旦将文件放置在另一个项目的谷歌云存储桶中，该功能就会触发数据流作业。谷歌文档说不可能，请看这里https://cloud.google.com/functions/docs/calling/storage

但是，我尝试这样做，但我的云功能无法部署并出现以下错误。它说

看起来这是一个权限问题，如果提供了所需的权限，这将起作用。 我是否需要添加项目（项目 A）的 @appspot.gserviceaccount.com 并授予所有者权限，我试图从该项目访问另一个项目（项目 B）的存储桶

所以如果上述情况属实，在我的项目 B IAM 页面中，我将看到 2 如下 @appspot.gserviceaccount.com 所有者 @appspot.gserviceaccount.com 编辑器

非常感谢您对此的任何意见。

Answer 1

目前无法从其他项目中捕获事件。但是有一个解决方法。

• 在有bucket的项目中，创建PubSub notification on Cloud Storage
• 在您创建的主题上，创建推送订阅。使用 Cloud Functions URL，并保护 PubSub 调用（您可以从 there 获得灵感。如果您遇到困难，请告诉我，我会花更多时间来描述这部分）
• 在 Cloud Functions 上，将 PubSub 服务帐户授予 cloudfunctions.invoker 角色

---

编辑 1

一开始，安全部分并不是那么容易。在您的项目 B（您拥有云存储的地方）中，您创建了一个 PubSub 主题。关于这个主题，您可以使用在项目 B 中创建的服务帐户创建通知。注意填写好受众

然后，您需要在项目 A 的 Cloud Function 上将这个“项目 B”服务帐户授予角色/cloudfunctions.invoker

# Create the service account
gcloud iam service-accounts create pubsub-push --project=<ProjectB>

#Create the push subscription
gcloud pubsub subscriptions create \
  --push-endpoint=https://<region>-<projectA>.cloudfunctions.net/<functionName> \
  --push-auth-service-account=pubsub-push@<projectB>.iam.gserviceaccount.com \
  --push-auth-token-audience=https://<region>-<projectA>.cloudfunctions.net/<functionName> \
  --topic=<GCSNotifTopic> --project=<ProjectB>

#Grant the service account
gcloud functions add-iam-policy-binding --member=serviceAccount:pubsub-push@<ProjectB>.iam.gserviceaccount.com --role=roles/cloudfunctions.invoker <FunctionName> --project=<projectA>

最后的陷阱：

• 如果项目 A 中的云函数是 HTTP 函数（可由 pubsub 推送订阅调用）或后台函数（可由事件调用，例如 CLoud Storage 事件），则其签名不同。你需要根据the documentation更新这个
• 发送到 Cloud Functions 的 PubSub 消息略有不同。注意相应地更新输入参数。

Answer 2

Google 文档说不可能

这就是您需要知道的全部内容。这不可能。无论您看到什么样的错误消息，都没有变通方法。