LocalでApplication Default Credentialsを利用している時にG Suite APIやFirebase APIを実行するとgoogleapi: Error 403: Request had insufficient authentication scopes. になる

[sinmetal]

WHAT

Google SpreadsheetなどのG Suite系のAPIやFirebase APIをApplicationから実行しようとした時に、Application Default Credentialsを利用していると権限があるにも関わらず403でエラーになる。

Refs

• Spreadsheets APIをGoからADCで利用する時のサンプルコード

WHY

gcloud auth application-default login の場合、GCPのScopeは最強のもので取得しているけど、その中にG SuiteやFirebaseは含まれていないからっぽい？

Solution

gcloud auth application-default login --scopes を利用して必要な任意のScopeを設定してやる。

Spreadsheetだと gcloud auth application-default login --scopes "https://www.googleapis.com/auth/spreadsheets" みたいな感じ

[sinmetal]

いっそのこと任意のService AccountのAccessTokenが欲しい場合 creating-short-lived-service-account-credentials が利用するのがよい。

これを実行する場合、対象のServiceAccountに対する token-creator のRoleが必要になると思うので、注意すること(具体的にどのRoleがあればいけるかはsinmetalはまだ試してない)

Go Sample Code

[apstndb]

具体的にはこれですね
https://cloud.google.com/iam/docs/understanding-roles?hl=en#service-accounts-roles

roles/iam.serviceAccountTokenCreator

[apstndb]

Spreadsheetだと gcloud auth application-default login --scopes "https://www.googleapis.com/auth/spreadsheets" みたいな感じ

だと本当に spreadsheets にしかアクセスできなくなるので、デフォルトで gcloud auth application-default login で付くスコープと合わせて

gcloud auth application-default login --scopes "https://www.googleapis.com/auth/spreadsheets,https://www.googleapis.com/auth/userinfo.email,https://www.googleapis.com/auth/cloud-platform,openid"

の方がよさそう

[sinmetal]

かっちょいい。FirebaseってどんなScopeしてるんだっけ？

[sinmetal]

https://www.googleapis.com/auth/firebase があれば、https://www.googleapis.com/auth/cloud-platform と同じノリでごそっと持てるのかな？

[apstndb]

なお --scopes のデフォルト値は --scopes の説明に書いてある
https://cloud.google.com/sdk/gcloud/reference/auth/application-default/login#--scopes

By default https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/cloud-platform scopes are used. The list of possible scopes can be found at: https://developers.google.com/identity/protocols/googlescopes.

上に書いてある通り、スコープの一覧は
https://developers.google.com/identity/protocols/oauth2/scopes

[apstndb]

https://www.googleapis.com/auth/firebase があれば、https://www.googleapis.com/auth/cloud-platform と同じノリでごそっと持てるのかな？

スコープの一覧にある通り、
https://www.googleapis.com/auth/firebase
が一番広そうですね。
https://www.googleapis.com/auth/firebase.readonly
もある

[sinmetal]

G Suiteはごそっと持つやつはなくて、強いて言えば https://developers.google.com/identity/protocols/oauth2/scopes#scriptv1 を見ながら、必要なやつをせっせと入れる感じかな？

[apstndb]

そうなりそうですねえ

[sinmetal]

なるほどなー。まぁ、G Suite系はでかいし、色んなデータがあるから、致し方ないか

[apstndb]

まあ神のアクセストークンを発行できるリフレッシュトークンがもしも漏れたらと考えるとこわいですしね…

[sinmetal]

#89 もちょい似てる話題だなと思ったので、メモ

[sinmetal]

Drive APIはQuotaProjectのオプションを指定しても、実行時にProjectNumber=764086051850 で固定され googleapi: Error 403: Access Not Configured. Drive API has not been used in project 764086051850 before or it is disabled. Enable it by visiting https://console.developers.google.com/apis/api/drive.googleapis.com/overview?project=764086051850 then retry. If you enabled this API recently, wait a few minutes for the action to propagate to our systems and retry., accessNotConfigured と言われる。

この場合は gcloud auth application-default login --client-id-file を指定してやれば、ClientIDが存在するProjectをQuotaProjectとして実行することができる。