Stackdriver访问被拒绝

Question

当尝试使用Google Python3 API客户端创建接收器时，我会得到以下错误：

RetryError: GaxError(Exception occurred in retry method that was not classified as transient, caused by <_Rendezvous of RPC that terminated with (StatusCode.PERMISSION_DENIED, The caller does not have permission)>)

我使用的代码是这样的：

import os
os.environ['GOOGLE_APPLICATION_CREDENTIALS'] = 'path_to_json_secrets.json'

from google.cloud.bigquery.client import Client as bqClient
bqclient = bqClient()
ds = bqclient.dataset('dataset_name')

print(ds.access_grants)
[]

ds.delete()
ds.create()

print(ds.access_grants)
[<AccessGrant: role=WRITER, specialGroup=projectWriters>,
 <AccessGrant: role=OWNER, specialGroup=projectOwners>,
 <AccessGrant: role=OWNER, userByEmail=id_1@id_2.iam.gserviceaccount.com>,
 <AccessGrant: role=READER, specialGroup=projectReaders>]

from google.cloud.logging.client import Client as lClient
lclient = lClient()
dest = 'bigquery.googleapis.com%s' %(ds.path)
sink = lclient.sink('sink_test', filter_='jsonPayload.project=project_name', destination=dest)
sink.create()

不太明白为什么会发生这种事。当我使用lclient.log_struct()时，我可以看到日志到达日志控制台，所以我可以访问Stackdriver。

这个设置有什么错误吗？

提前谢谢。

Answer 1

创建接收器需要不同的权限，而不是编写日志条目。默认情况下，服务帐户被赋予项目编辑器(非所有者)，该编辑器没有创建接收器的权限。

请参阅所需的在访问控制文档中权限列表。

确保您使用的服务帐户具有logging.sinks.create权限。最简单的方法是将服务帐户从Editor切换到Owner，但是最好添加Logs角色，这样您就可以给它它所需的权限。