谷歌云获取存储桶 - 适用于 cli 但不适用于 python

Question

我被要求与外部谷歌存储桶进行集成，我收到了一个凭据 json，

在尝试做的时候 gsutil ls gs://bucket_name（在使用 creds json 配置自己之后）我收到了有效的响应，以及当我尝试将文件上传到存储桶时。

尝试使用 Python3 时，它不起作用：

在使用google-cloud-storage==1.16.0（也尝试了较新的版本）时，我正在做：

project_id = credentials_dict.get("project_id")
credentials = service_account.Credentials.from_service_account_info(credentials_dict)
client = storage.Client(credentials=credentials, project=project_id)

bucket = client.get_bucket(bucket_name)

但是在get_bucket 行，我得到：

google.api_core.exceptions.Forbidden: 403 GET https://www.googleapis.com/storage/v1/b/BUCKET_NAME?projection=noAcl: USERNAME@PROJECT_ID.iam.gserviceaccount.com does not have storage.buckets.get access to the Google Cloud Storage bucket.

我正在与之集成的外部合作伙伴说用户设置正确，并证明他们表明我可以使用gsutil 执行操作。

你能帮忙吗？知道可能是什么问题吗？

Answer 1

请关注these steps 以正确设置 Python 的云存储客户端库。一般情况下，云存储库可以使用Application default credentials or environment variables for authentication。

请注意，推荐使用的方法是设置 authentication using environment variables（即，如果您使用的是 Linux：export GOOGLE_APPLICATION_CREDENTIALS="/path/to/[service-account-credentials].json" 应该可以）并完全避免使用 service_account.Credentials.from_service_account_info() 方法：

from google.cloud import storage

storage_client = storage.Client(project='project-id-where-the-bucket-is')
bucket_name = "your-bucket"
bucket = client.get_bucket(bucket_name)

应该只是工作，因为身份验证是由客户端库通过环境变量处理的。

现在，如果您有兴趣显式使用服务帐户而不是使用service_account.Credentials.from_service_account_info() 方法，您可以通过以下方式直接使用from_service_account_json() 方法：

from google.cloud import storage

# Explicitly use service account credentials by specifying the private key
# file.
storage_client = storage.Client.from_service_account_json(
    '/[service-account-credentials].json')
bucket_name = "your-bucket"
bucket = client.get_bucket(bucket_name)

查找有关如何向您的应用程序here 提供凭据的所有相关详细信息。

Answer 2

答案是信任确实是错误的，但当我尝试在客户端 client.bucket(bucket_name) 而不是 client.get_bucket(bucket_name) 上执行时，它确实有效。