CloudBuild-execラッパーを使用してCloudSQL Proxy +その他のGCPリソースに接続する際の認証情報エラー

exec-wrapperクラウドビルドステップでを使用してクラウドSQLプロキシを実行し、ノードスクリプトを実行してカスタムデータベース移行を実行しようとしています。クラウドビルド構成は次のようになります。

steps:
- name: gcr.io/cloud-builders/docker
  args: ['build', '-t', 'gcr.io/$PROJECT_ID/api-stg', '.']
- name: gcr.io/cloud-builders/docker
  args: ['push', 'gcr.io/$PROJECT_ID/api-stg']
- name: gcr.io/cloud-builders/gcloud
  args: ['app', 'deploy', 'app-stg.yaml', '--image-url=gcr.io/$PROJECT_ID/api-stg']
- name: "gcr.io/google-appengine/exec-wrapper"
  args: ["-i", "gcr.io/$PROJECT_ID/api-stg",
         "-s", "$PROJECT_ID:us-central1:<Cloud SQL Instance Name>",
         "--", "scripts/management/custom_migration"]

images: ['gcr.io/$PROJECT_ID/api-stg']
timeout: 1200s # 20 minutes

そして私のcustom_migration.jsファイルには次のようなものがあります：

const {Storage} = require('@google-cloud/storage');

const storage = new Storage();
const bucket = storage.bucket(BUCKET_NAME);
const file = await bucket.file(key);
const result = await new Promise(resolve => file.download((err, data) => {...}));
...

これにより、次のエラーが発生しますgoogle-auth-library。

Error: The file at /root/.google/credentials does not exist, or it is not a file. 
Error: ENOENT: no such file or directory, lstat '/root/.google'

My App Engine Flexible環境では、新しいバージョンでデプロイしたときにこのコードを実行できますが、クラウドビルドステップの同じコードが正しく認証されていません。exec-wrapperがAppEngineフレキシブル環境のデフォルトの認証情報を使用できるようにするにはどうすればよいですか？