Google Cloud SQL 导出权限

Question

我们一直在使用 Cloud Functions 触发导出，每天自动将完整的数据库从 Google Cloud SQL 导出到 Google Cloud Storage（跨项目）。 （见article）

从 4 天前开始，我们收到 403 错误，日志显示：“服务帐户没有存储桶所需的权限。”

我们没有进行任何权限更改并正在运行： gsutil acl get [BUCKET] 仍然表明我们的 Google Cloud SA 具有我们所期望的“WRITER”角色。

从我们的角度来看，我们似乎随机失去了对此工作流程的权限。是否有人对如何调试此工作流程并让此工作流程再次运行有任何建议？

编辑：这似乎是最近引入的一个错误，https://issuetracker.google.com/issues/166478544

Answer 1

是的，你是对的，这似乎确实是一个似乎正在影响情况的错误。关于您在链接的公共问题中的问题，它似乎确实与存储桶级别的权限有关。考虑到错误在存储桶级别影响您这一事实，在此级别内使用权限比从您的 IAM 修改整个角色更有意义。您可以按照here指示的说明修改bucket级别的权限。

或者，只需按照以下步骤操作即可。

1. 在 Google Cloud Platform 网络控制台中，导航到存储浏览器。
2. 找到您要修改权限的存储桶。
3. 点击三个点并选择编辑存储桶权限。
4. 在“权限”选项卡中设置存储桶级权限。
5. 点击添加成员并输入您要用于访问存储桶的服务帐户。
6. 在角色下，选择存储对象管理员或允许访问存储桶的其他角色。与storage.buckets.get 关联的那些可用here。
7. 完成后点击Add。

无论如何，我建议您遵循解决方法并等待public issue 中的更新，直到它得到修复。但是，请记住，正如 official documentation 所指示的，实际上建议使用存储桶级访问权限。