Sujet :

GCP : Permission denied sur Cloud Storage depuis GKE

RÉSOLU

Liste des sujets Répondre Créer un sujet

Avatar de matthieu-pires

matthieu-pires

Membre depuis le 17/06/2024

hello, j'essaie de lire un bucket GCS depuis mon app sur GKE via le SDK python. j'ai une erreur 403 systématique

google.api_core.exceptions.Forbidden: 403 GET https://storage.googleapis.com/...: caller does not have storage.objects.get access

j'ai pourtant mis le rôle Storage Admin sur mon node service account

Avatar de stephanie-roy

stephanie-roy

Membre depuis le 30/07/2024

t'as activé les scopes 'storage-full' au moment de la création de ton node pool ?

Avatar de rmartel

rmartel

Membre depuis le 24/01/2025

n'utilise pas les droits du node pool, c'est pas sécure. utilise le **Workload Identity**. tu bind un Google Service Account (GSA) à ton Kubernetes Service Account (KSA). c'est beaucoup plus granulaire

gcloud iam service-accounts add-iam-policy-binding GSA_NAME \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"

Avatar de matthieu-pires

matthieu-pires

Membre depuis le 17/06/2024

configuré avec Workload Identity et ça marche enfin sans donner trop de droits aux nodes. merci du conseil

Répondre

vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire