在 CloudRun 中创建 V4 签名 URL

来到golang学习网的大家，相信都是编程学习爱好者，希望在这里学习Golang相关编程知识。下面本篇文章就来带大家聊聊《在 CloudRun 中创建 V4 签名 URL》，介绍一下，希望对大家的知识积累有所帮助，助力实战开发！

我想从使用 CloudRun 部署的应用创建指向 Google Cloud Storage 资源的签名 URL。

我按照本指南使用具有 GCS 角色的自定义服务帐户设置了 CloudRun。

我的目的是使用 V4 签名从 CloudRun 创建签名 URL。有一个针对此用例的指南，其中文件 service_account.json 用于生成 JWT 配置。当我从 google 的 IAM 下载文件时，这对我在本地主机上有效。我希望避免使用我在 CloudRun UI 中提供的文件在存储库中提交此文件。

我希望 CloudRun 将此服务帐户文件注入到应用程序容器中，并使其可以在 GOOGLE_APPLICATION_CREDENTIALS 变量中进行访问，但事实并非如此。

您对如何执行此操作有建议吗？谢谢。

解决方案

正如您所说，golang 存储客户端库需要服务帐户 json 文件来对 url 进行签名。

目前 github 上有一个用于此目的的 feature request open，但您应该能够使用我找到的这个示例 here: 来解决这个问题

import (
"context"
  "fmt"
  "time"
  "cloud.google.com/go/storage"
  "cloud.google.com/go/iam/credentials/apiv1"
  credentialspb "google.golang.org/genproto/googleapis/iam/credentials/v1"
)

const (
  bucketName = "bucket-name"
  objectName = "object"
  serviceAccount = "[PROJECTNUMBER][email protected]"
)

func main() {
  ctx := context.Background()

  c, err := credentials.NewIamCredentialsClient(ctx)
  if err != nil {
     panic(err)
  }

  opts := &storage.SignedURLOptions{
     Method: "GET",
     GoogleAccessID: serviceAccount,
     SignBytes: func(b []byte) ([]byte, error) {
        req := &credentialspb.SignBlobRequest{
            Payload: b,
            Name: serviceAccount,
        }
        resp, err := c.SignBlob(ctx, req)
        if err != nil {
           panic(err)
        }
        return resp.SignedBlob, err
     },
     Expires: time.Now().Add(15*time.Minute),
  }

  u, err := storage.SignedURL(bucketName, objectName, opts)
  if err != nil {
     panic(err)
  }

  fmt.Printf("\"%v\"", u)
}

cloud run（和其他计算平台）不会注入服务帐户密钥文件。相反，他们使 access_tokens 在 instance metadata service 上可用。然后您可以使用 jwt 交换此访问令牌。

但是，很多时候，google 的客户端库和 gcloud 可以在 gcp 的计算平台上开箱即用，无需明确进行身份验证。因此，如果您使用链接页面上的说明（gcloud 或代码示例），它应该可以开箱即用。

好了，本文到此结束，带大家了解了《在 CloudRun 中创建 V4 签名 URL》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多Golang知识！