使用不同 GCP 项目 ID 的 Cloud Function 访问资源

霞舞

发布时间：2025-10-08 09:25:18

238人浏览过

来源于php中文网

原创

使用不同 gcp 项目 id 的 cloud function 访问资源

Cloud Function 拥有其自身的身份，该身份需要具备访问所需资源的权限。当 Cloud Function 所在的 GCP 项目与需要访问的资源（例如，存储在另一个项目中的 Secret）所在的 GCP 项目不同时，需要正确配置权限。切勿尝试为同一个 Cloud Function 指定多个身份，这通常会导致问题，并且不是推荐的做法。

授权 Cloud Function 服务账号访问资源

解决跨项目资源访问问题的关键在于，授予 Cloud Function 的服务账号访问所需资源的权限。Cloud Function 运行时会使用一个服务账号来代表其身份。你需要找到这个服务账号，并授予它访问目标项目资源的权限。

步骤如下：

找到 Cloud Function 的服务账号： 在 Cloud Function 的配置页面，你可以找到该 Function 使用的服务账号。通常，它的格式类似于 PROJECT_ID@appspot.gserviceaccount.com 或 PROJECT_NUMBER-compute@developer.gserviceaccount.com。
授予权限： 在目标项目（例如，存储 Secrets 的项目）中，将适当的权限授予 Cloud Function 的服务账号。这可以通过 IAM & Admin 页面完成。
- 例如，如果 Cloud Function 需要访问 Secret Manager 中的 Secret，你需要在 Secret Manager 中授予该服务账号 Secret Manager Secret Accessor 角色。

示例：

英特尔AI工具

英特尔AI与机器学习解决方案

下载

假设 Cloud Function 位于 com-project-common 项目中，其服务账号为 com-project-common@appspot.gserviceaccount.com。并且你需要访问位于 com-project-data 项目中的一个 Secret。

在 com-project-data 项目的 Secret Manager 中，找到你要访问的 Secret。
点击 Secret 的 "Permissions" 标签。
添加 com-project-common@appspot.gserviceaccount.com 并授予其 Secret Manager Secret Accessor 角色。

代码示例 (Python):

from google.cloud import secretmanager

def hello_world(request):
    """Responds to any HTTP request.
    Args:
        request (flask.Request): HTTP request object.
    Returns:
        The response text, or any set of values that can be turned into a
        Response object using
        `make_response `.
    """
    project_id = "com-project-data" # Project containing the secret
    secret_id = "my-secret"
    version_id = "latest"

    client = secretmanager.SecretManagerServiceClient()
    name = f"projects/{project_id}/secrets/{secret_id}/versions/{version_id}"
    response = client.access_secret_version(request={"name": name})

    secret_value = response.payload.data.decode("UTF-8")

    return f"The secret value is: {secret_value}"

注意事项：

确保 Cloud Function 的服务账号拥有访问所需资源的最小权限。避免授予过于宽泛的角色，例如 roles/owner。
使用环境变量或 Secret Manager 来存储敏感信息，例如数据库密码。不要将这些信息硬编码到代码中。
定期审查和更新 Cloud Function 的权限，以确保其安全。

避免使用服务账号密钥文件

虽然可以通过使用服务账号密钥文件来模拟不同的身份，但这是一种非常糟糕的做法，应该避免。使用密钥文件会带来以下风险：

安全风险： 密钥文件如果被泄露，可能会被恶意用户利用。
管理复杂性： 管理多个密钥文件会变得非常复杂，容易出错。
不符合最佳实践： 使用密钥文件不是 Cloud Functions 的推荐做法。

总结

通过正确配置 Cloud Function 的服务账号权限，可以安全地访问不同 GCP 项目中的资源。避免使用服务账号密钥文件，并遵循最佳实践，可以确保 Cloud Function 的安全性和可维护性。授予 Cloud Function 服务账号访问所需资源的权限，是解决跨项目资源访问问题的推荐方法。

正则表达式删除重复标题_用正则表达式去除重复标题行

如何在Java应用中嵌入并运行Python3脚本（无需系统预装Python）

如何使用正则表达式精准删除文件_用正则批量删除匹配文件名

正则表达式适用于哪些语言_支持正则表达式的编程语言列表

如何用栈求解逆波兰表达式（RPN）的最终值

相关专题

function是什么

function是函数的意思，是一段具有特定功能的可重复使用的代码块，是程序的基本组成单元之一，可以接受输入参数，执行特定的操作，并返回结果。本专题为大家提供function是什么的相关的文章、下载、课程内容，供大家免费下载体验。

484

2023.08.04

js函数function用法

js函数function用法有：1、声明函数；2、调用函数；3、函数参数；4、函数返回值；5、匿名函数；6、函数作为参数；7、函数作用域；8、递归函数。本专题提供js函数function用法的相关文章内容，大家可以免费阅读。

163

2023.10.07

数据库三范式

数据库三范式是一种设计规范，用于规范化关系型数据库中的数据结构，它通过消除冗余数据、提高数据库性能和数据一致性，提供了一种有效的数据库设计方法。本专题提供数据库三范式相关的文章、下载和课程。

359

2023.06.29

如何删除数据库

删除数据库是指在MySQL中完全移除一个数据库及其所包含的所有数据和结构，作用包括：1、释放存储空间；2、确保数据的安全性；3、提高数据库的整体性能，加速查询和操作的执行速度。尽管删除数据库具有一些好处，但在执行任何删除操作之前，务必谨慎操作，并备份重要的数据。删除数据库将永久性地删除所有相关数据和结构，无法回滚。

2082

2023.08.14

vb怎么连接数据库

在VB中，连接数据库通常使用ADO（ActiveX 数据对象）或 DAO（Data Access Objects）这两个技术来实现：1、引入ADO库；2、创建ADO连接对象；3、配置连接字符串；4、打开连接；5、执行SQL语句；6、处理查询结果；7、关闭连接即可。

349

2023.08.31

MySQL恢复数据库

MySQL恢复数据库的方法有使用物理备份恢复、使用逻辑备份恢复、使用二进制日志恢复和使用数据库复制进行恢复等。本专题为大家提供MySQL数据库相关的文章、下载、课程内容，供大家免费下载体验。

256

2023.09.05

vb中怎么连接access数据库

vb中连接access数据库的步骤包括引用必要的命名空间、创建连接字符串、创建连接对象、打开连接、执行SQL语句和关闭连接。本专题为大家提供连接access数据库相关的文章、下载、课程内容，供大家免费下载体验。

326

2023.10.09

数据库对象名无效怎么解决

数据库对象名无效解决办法：1、检查使用的对象名是否正确，确保没有拼写错误；2、检查数据库中是否已存在具有相同名称的对象，如果是，请更改对象名为一个不同的名称，然后重新创建；3、确保在连接数据库时使用了正确的用户名、密码和数据库名称；4、尝试重启数据库服务，然后再次尝试创建或使用对象；5、尝试更新驱动程序，然后再次尝试创建或使用对象。

412

2023.10.16