使用helm和gcp_kms加密secrets.yml文件时，key权限被拒绝

Question

我在Google Cloud KMS中有一个钥匙圈和钥匙。我想使用该密钥通过helm secrets对secrets.yml文件进行加密

我是GCP项目的所有者，我还为自己指定了特定的加密/解密IAM角色，我认为这是不必要的，因为我是所有者，但值得一试。

我在尝试运行helm secrets enc secrets.yml时收到以下权限被拒绝错误：

Could not generate data key: [failed to encrypt new data key with master key "projects/myproject-266813/locations/global/keyRings/myKeyRing/cryptoKeys/myKey": Failed to call GCP KMS encryption service: googleapi: Error 403: Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource 'projects/myproject-266813/locations/global/keyRings/myKeyRing/cryptoKeys/myKey' (or it may not exist)., forbidden]

我的.sops.yml文件：

creation_rules: - gcp_kms: projects/mirkwood-266813/locations/global/keyRings/lotr/cryptoKeys/cdlkey

我使用正确的gcp帐户进行了身份验证，那么我遗漏了什么？

Answer 1

这个问题的答案非常简单：

gcloud auth application-default login

或

使用服务帐户

gcloud auth login 

光靠它是行不通的