GCP : Permission denied sur Cloud Storage depuis GKE

Posté par matthieu-pires le 03/02/2025
RÉSOLU
Retour Répondre Créer

Avatar de matthieu-pires

matthieu-pires

Membre depuis le 18/05/2024

hello, j'essaie de lire un bucket GCS depuis mon app sur GKE via le SDK python. j'ai une erreur 403 systématique

google.api_core.exceptions.Forbidden: 403 GET https://storage.googleapis.com/...: caller does not have storage.objects.get access

j'ai pourtant mis le rôle Storage Admin sur mon node service account

Commentaires

Avatar de stephanie-roy

stephanie-roy

Membre depuis le 17/03/2019

t'as activé les scopes 'storage-full' au moment de la création de ton node pool ?

Avatar de rmartel

rmartel

Membre depuis le 24/01/2025

n'utilise pas les droits du node pool, c'est pas sécure. utilise le **Workload Identity**. tu bind un Google Service Account (GSA) à ton Kubernetes Service Account (KSA). c'est beaucoup plus granulaire

gcloud iam service-accounts add-iam-policy-binding GSA_NAME \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"

Avatar de matthieu-pires

matthieu-pires

Membre depuis le 18/05/2024

configuré avec Workload Identity et ça marche enfin sans donner trop de droits aux nodes. merci du conseil

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire