Fehlerbehebung bei Workload Identity-Föderation

Auf dieser Seite werden Lösungen für häufige Fehler der Workload Identity-Föderation beschrieben.

Die Google Cloud API akzeptiert keine von SecurityTokenService ausgestellten Anmeldedaten

Wenn der folgende Fehler auftritt, versuchen Sie möglicherweise, direkt mit Anmeldedaten aus SecurityTokenService auf eine Google Cloud API zuzugreifen, anstatt sie zuerst gegen Anmeldedaten für ein Dienstkonto auszutauschen.

{
  "error": {
    "code": 401,
    "message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
    "status": "UNAUTHENTICATED",
  }
}

Um diesen Fehler zu beheben, tauschen Sie die aus SecurityTokenService erstellten Anmeldedaten gegen ein Dienstkonto-Token aus, indem Sie GenerateAccessToken aufrufen. Weitere Informationen finden Sie unter Kurzlebige Anmeldedaten mit Identitätsföderation abrufen.

Identitätsanbieter zur Verwendung mit der Workload Identity-Föderation zulassen

Wenn Sie versuchen, einen nicht zulässigen Identitätsanbieter als Workload Identity-Poolanbieter zu konfigurieren, tritt der folgende Fehler auf:

FAILED_PRECONDITION: Precondition check failed.
- '@type': type.googleapis.com/google.rpc.PreconditionFailure
  violations:
  - description: "Org Policy violated for value: '{PROVIDER}'."
    subject: orgpolicy:projects/{PROJECT}/locations/global/workloadIdentityPools/{POOL}
    type: constraints/iam.workloadIdentityPoolProviders

Folgen Sie der Anleitung unter Konfiguration des Identitätsanbieters einschränken, um dieses Problem zu beheben und den Identitätsanbieter für die Verwendung mit der Workload Identity-Föderation zuzulassen.