将数据从 GCP 实例作为本地帐户复制到 Google Cloud Storage 存储桶

GCE 实例将使用服务帐户，它从服务器上的任何本地用户那里抽象出来 - 凭据本质上嵌入到实例的元数据中。你不应该在 GCE 实例上使用辅助服务帐户或用户凭据 - 这很可能就是为什么您的个人用户能够传输文件而其他nginx用户却不能的原因。

为了使您的实例能够将数据写入 GCS 存储桶，您很可能需要使用 GCS 读/写范围启动实例 (文档) - 默认情况下，GCS 访问是禁用的。

请注意，如果您使用实例模板，这些无法编辑，因此需要销毁并重新创建模板，并且任何基于旧模板的实例也需要重新配置。

对于可能存在错误的一些想法：

• 告诉 gsutil 使用应用程序默认凭据的配置位于 中/etc/boto.cfg。确保您的 nginx 用户可以读取该文件。
• gsutil 的设置可以被覆盖。查看是否有 BOTO_CONFIG 环境变量或 ~nginx/.boto.cfg 文件替换默认设置。

我相信 GCE 实例上的任何用户都应该能够使用gsutil。凭据是通过 HTTP 调用授予的。您可以通过 sudo 成为 nginx 用户并运行以下命令来测试您是否收到了它们：

curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" \
-H "Metadata-Flavor: Google"

.config我通过添加一个组并为该组提供.gsutil适当的权限，然后将用户添加到该组来解决这个问题nginx。但这真的不是我喜欢的解决方法 - 但它确实有用。