我们使用服务帐户通过 Travis 将我们的应用程序部署到 App Engine。
在每个合并的 PR 中,Travis 从我们的 GitHub 存储库中提取代码,并提取Docker镜像 https://github.com/hollowverse/hollowverse-docker其中包含 Google Cloud SDK 并执行gcloud app deploy命令。我们使用服务帐户以“项目所有者”角色执行部署。
一切都工作正常,直到我向项目添加了一项新服务,该服务自动生成和更新 SSL 证书,以及dispatch.yaml文件来路由从 Let's Encrypt 传入的流量以进行域验证。我需要添加更多权限以允许更新我们用于自定义域的 SSL 证书。我删除了当前的服务帐户,并使用新的私钥创建了一个新帐户。我创建了一个新角色,除了之前的权限(所有权限)之外,还具有更新和查看 SSL 证书所需的权限appengine.*权限)。我分配了新角色and将项目所有者角色分配给新帐户。进行这些更改后,部署失败,执行时出现以下错误deploy命令:
Permissions error fetching application [apps/hollowverse-c9cad]. Please make sure you are using the correct project ID and that you have permission to view applications on the project.
我在本地计算机上使用相同的服务帐户,并将日志记录级别设置为调试。我收到这个错误:
DEBUG: HttpError accessing <https://appengine.googleapis.com/v1/apps/hollowverse-c9cad?alt=json>: response: <{'status': '403', 'content-length': '335', 'x-xss-protection': '1; mode=block', 'x-content-type-options': 'nosniff', 'transfer-encoding': 'chunked', 'vary': 'Origin, X-Origin, Referer', 'server': 'ESF', '-content-encoding': 'gzip', 'cache-control': 'private', 'date': 'Wed, 02 Aug 2017 14:33:50 GMT', 'x-frame-options': 'SAMEORIGIN', 'alt-svc': 'quic=":443"; ma=2592000; v="39,38,37,36,35"', 'content-type': 'application/json; charset=UTF-8'}>, content <{
"error": {
"code": 403,
"message": "Operation not allowed",
"status": "PERMISSION_DENIED",
"details": [
{
"@type": "type.googleapis.com/google.rpc.ResourceInfo",
"resourceType": "gae.api",
"description": "The \"appengine.applications.get\" permission is required."
}
]
}
}
>
DEBUG: (gcloud.beta.app.deploy) Permissions error fetching application [apps/hollowverse-c9cad]. Please make sure you are using the correct project ID and that you have permission to view applications on the project.
描述说appengine.applications.get需要执行部署。查看授予分配给我们用于部署的 Travis 帐户的角色的权限,appengine.applications.get明确授予:
我将所有可能的 App Engine 和项目角色分配给该帐户,但部署仍然失败并出现相同的错误。但是,使用为 GCP 上的每个新项目自动创建的默认服务帐户似乎有效。
