GCP Cloud Functions 中默认项目凭据不再隐式生效？

本文探讨了 Google Cloud Functions 中使用 GCP 客户端库（如 `google-cloud-storage`）时，默认项目凭据不再隐式生效的问题。分析了可能的原因，并针对不同场景提供了解决方案。重点在于了解何时需要显式指定项目 ID，以及如何避免不必要的代码更新。通过本文，开发者可以更好地理解 GCP 身份验证机制，并确保其 Cloud Functions 正常运行。

在使用 Google Cloud Functions 与 GCP 服务交互时，一个常见的困惑是何时需要显式指定项目 ID。 过去，Cloud Functions 通常能够隐式地使用部署项目的默认凭据。然而，最近的行为变化表明，这种隐式行为可能不再可靠。 本文将深入探讨这一变化，并提供指导，帮助你确定是否需要更新现有 Cloud Functions 代码。

理解 Application Default Credentials (ADC)

Application Default Credentials (ADC) 是一种策略，GCP 客户端库使用它来自动查找凭据。 ADC 会按以下顺序查找凭据：

1. 环境变量: GOOGLE_APPLICATION_CREDENTIALS 环境变量指向的服务帐户密钥文件。
2. 用户凭据: 如果使用 gcloud auth application-default login 登录，则使用用户凭据。
3. Compute Engine 默认服务帐户: 在 Compute Engine、Cloud Functions 或其他 GCP 环境中，使用附加到实例的默认服务帐户。

需要注意的是，ADC 的文档并没有明确说明 Cloud Functions 会自动使用部署项目的项目 ID 作为默认值。

何时需要指定项目 ID

是否需要显式指定项目 ID 取决于你使用的 GCP 服务以及你在代码中执行的操作。

• 数据读写操作 (例如 Cloud Storage): 对于读取或写入 Cloud Storage 存储桶的操作，通常不需要显式指定项目 ID。 这是因为存储桶是全局资源，可以通过其名称直接访问，而无需关联特定的项目。

  from google.cloud import storage
  
  storage_client = storage.Client()
  bucket = storage_client.bucket("your-bucket-name")
  
  # 读取文件
  blob = bucket.blob("your-file.txt")
  content = blob.download_as_string()
  
  # 写入文件
  blob = bucket.blob("new-file.txt")
  blob.upload_from_string("Hello, World!")

  登录后复制

• 资源创建操作 (例如 Cloud Storage): 对于创建新资源（例如 Cloud Storage 存储桶）的操作，通常需要显式指定项目 ID。 这是因为创建操作需要指定资源所属的项目。

  from google.cloud import storage
  
  storage_client = storage.Client(project="your-project-id")
  bucket = storage_client.create_bucket("new-bucket-name", location="US")

  登录后复制

• 其他 GCP 服务: 对于其他 GCP 服务，是否需要显式指定项目 ID 取决于具体的 API 和操作。 请务必查阅相关服务的文档，了解其要求。

  

  AI Surge Cloud

  低代码数据分析平台，帮助企业快速交付深度数据

  57

  查看详情

如何确定是否需要更新代码

要确定是否需要更新现有 Cloud Functions 代码，请执行以下步骤：

1. 检查代码: 检查你的代码，查找所有使用 GCP 客户端库的地方。
2. 分析操作: 对于每个 GCP 客户端库的使用，确定你执行的操作类型（例如，读取、写入、创建）。
3. 查阅文档: 查阅相关 GCP 服务的文档，了解你执行的操作是否需要显式指定项目 ID。
4. 测试代码: 在测试环境中部署你的 Cloud Functions，并验证其是否按预期工作。 如果遇到任何错误，请尝试显式指定项目 ID，然后重新测试。

示例代码

以下是一些示例代码，演示了如何在 Cloud Functions 中使用 google-cloud-storage 客户端库，并显式指定项目 ID（如果需要）：

from google.cloud import storage

def hello_world(request):
    """HTTP Cloud Function.
    Args:
        request (flask.Request): The request object.
        <https://flask.palletsprojects.com/en/1.1.x/api/#flask.Request>
    Returns:
        The response text, or any set of values that can be turned into a
        Response object using `make_response`
        <https://flask.palletsprojects.com/en/1.1.x/api/#flask.Flask.make_response>.
    """

    # 读取存储桶中的文件（不需要项目 ID）
    storage_client = storage.Client()
    bucket = storage_client.bucket("your-bucket-name")
    blob = bucket.blob("your-file.txt")
    content = blob.download_as_string()

    # 创建新的存储桶（需要项目 ID）
    # storage_client = storage.Client(project="your-project-id")
    # bucket = storage_client.create_bucket("new-bucket-name", location="US")

    return f"File content: {content.decode('utf-8')}"

注意事项和总结

• 服务帐户: 强烈建议为每个 Cloud Function 使用专用的服务帐户，并授予该服务帐户所需的最小权限。 这可以提高安全性并简化权限管理。

• 环境变量: 可以使用环境变量 GOOGLE_CLOUD_PROJECT 来获取当前项目的 ID。 这样可以避免在代码中硬编码项目 ID。

  import os
  project_id = os.environ.get("GOOGLE_CLOUD_PROJECT")
  storage_client = storage.Client(project=project_id)

  登录后复制

• 测试: 在生产环境中部署任何更改之前，务必在测试环境中彻底测试你的 Cloud Functions。

总之，虽然过去 Cloud Functions 可能会隐式地使用部署项目的默认凭据，但现在的行为似乎更加严格，可能需要显式指定项目 ID。 通过仔细分析你的代码并遵循本文提供的指导，你可以确定是否需要更新你的 Cloud Functions 代码，并确保其正常运行。 请记住，最佳实践是使用专用服务帐户并明确定义权限。

以上就是GCP Cloud Functions 中默认项目凭据不再隐式生效？的详细内容，更多请关注php中文网其它相关文章！