Halaman ini diterjemahkan oleh Cloud Translation API.

Pengantar identitas layanan

Halaman ini menjelaskan dua identitas Cloud Run, dan cara Library Klien Cloud menggunakan identitas layanan untuk memanggil Google Cloud API. Contoh produk Google Cloud yang memiliki Library Klien Cloud meliputi Cloud Storage, Firestore, Cloud SQL, Pub/Sub, dan Cloud Tasks. Halaman ini ditujukan bagi admin, operator, atau developer yang mengelola kebijakan organisasi dan akses pengguna, atau siapa saja yang ingin mempelajari topik tersebut.

Identitas Cloud Run

Untuk menggunakan Cloud Run, Google Cloud mewajibkan pengguna Cloud Run dan instance Cloud Run masing-masing memiliki identitas.

Identitas pengguna Cloud Run disebut sebagai akun deployer Cloud Run. Saat mengelola revisi atau tugas, Anda menggunakan identitas ini untuk membuat permintaan ke Cloud Run Admin API.
Identitas instance Cloud Run disebut sebagai identitas layanan Cloud Run. Saat kode Cloud Run yang Anda tulis berinteraksi dengan Library Klien Cloud, atau memanggil layanan Cloud Run lain untuk komunikasi layanan ke layanan, Anda menggunakan identitas ini untuk membuat permintaan dari Cloud Run ke Google Cloud API atau layanan Cloud Run lainnya.

Untuk mengakses dan membuat permintaan ke Google Cloud API atau berkomunikasi antarlayanan, setiap identitas harus memiliki izin yang sesuai yang diberikan di Identity and Access Management (IAM).

Memanggil Cloud Run Admin API dengan akun deployer

Anda dapat memanggil Cloud Run Admin API dari Cloud Run menggunakan akun deployer Cloud Run. Akun deployer dapat berupa akun pengguna atau akun layanan, dan mewakili akun yang login ke lingkungan Google Cloud.

Saat akun deployer menggunakan Cloud Run, IAM akan memeriksa apakah akun deployer memiliki izin yang diperlukan untuk melakukan operasi Cloud Run. Diagram berikut menunjukkan cara akun pengguna memanggil Cloud Run Admin API untuk men-deploy revisi baru dari konsol Google Cloud:

Panggil Cloud Run Admin API dari konsol Google Cloud. — **Gambar 1.** Pengguna menggunakan konsol Google Cloud untuk men-deploy revisi baru dengan mengirimkan permintaan yang berisi token akses ke Cloud Run Admin API. IAM menggunakan token akses tersebut untuk memverifikasi bahwa akun pengguna diautentikasi untuk mengakses Cloud Run Admin API sebelum melakukan operasi.

Memanggil Google Cloud API dengan identitas layanan

Saat instance Cloud Run berinteraksi dengan layanan Cloud Run lain yang diautentikasi IAM, atau memanggil Library Klien Cloud melalui kode aplikasi atau fitur bawaan seperti integrasi Cloud Run atau mount volume Cloud Storage, lingkungan Google Cloud menggunakan Kredensial Default Aplikasi (ADC) untuk mendeteksi secara otomatis apakah identitas layanan Cloud Run diautentikasi untuk melakukan operasi API. Identitas layanan Cloud Run adalah akun layanan yang ditetapkan sebagai identitas instance Cloud Run saat Anda men-deploy revisi atau menjalankan tugas.

Akun layanan yang digunakan sebagai akun deployer hanya akan digunakan sebagai identitas layanan jika Anda mengonfigurasi akun layanan yang sama di konfigurasi Cloud Run.

Bagian lain dari panduan ini menjelaskan cara layanan atau tugas Cloud Run menggunakan identitas layanan untuk memanggil dan mengakses layanan dan API Google. Untuk informasi selengkapnya tentang konfigurasi identitas layanan, lihat halaman konfigurasi identitas layanan untuk layanan dan tugas.

Jenis akun layanan untuk identitas layanan

Saat instance Cloud Run Anda melakukan panggilan ke Google Cloud API untuk melakukan operasi yang diperlukan, Cloud Run akan otomatis menggunakan akun layanan sebagai identitas layanan. Dua jenis akun layanan yang dapat digunakan sebagai identitas layanan adalah sebagai berikut:

Akun layanan yang dikelola pengguna (direkomendasikan): Anda membuat akun layanan ini secara manual dan menentukan kumpulan izin paling minimal yang diperlukan akun layanan untuk mengakses resource Google Cloud tertentu. Akun layanan yang dikelola pengguna mengikuti format SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.
Compute Engine default service account: Cloud Run secara otomatis menyediakan akun layanan default Compute Engine sebagai identitas layanan default. Akun layanan default Compute Engine mengikuti format PROJECT_NUMBER-compute@developer.gserviceaccount.com.

Menghindari akun layanan default saat mengonfigurasi identitas layanan

Secara default, akun layanan default Compute Engine akan otomatis dibuat. Jika Anda tidak menentukan akun layanan saat layanan atau tugas Cloud Run dibuat, Cloud Run akan menggunakan akun layanan ini.

Bergantung pada konfigurasi kebijakan organisasi Anda, akun layanan default mungkin secara otomatis diberi peran Editor di project Anda. Sebaiknya Anda menonaktifkan pemberian peran otomatis dengan menerapkan batasan kebijakan organisasi iam.automaticIamGrantsForDefaultServiceAccounts. Jika Anda membuat organisasi setelah 3 Mei 2024, batasan ini akan diterapkan secara default.

Jika Anda menonaktifkan pemberian peran otomatis, Anda harus menentukan peran mana yang akan diberikan ke akun layanan default, lalu memberikan peran tersebut secara manual.

Jika akun layanan default sudah memiliki peran Editor, sebaiknya ganti peran Editor dengan peran yang kurang permisif.Untuk mengubah peran akun layanan dengan aman, gunakan Policy Simulator untuk melihat dampak perubahan, lalu berikan dan cabut peran yang sesuai.

Cara kerja identitas layanan

Saat kode Anda memanggil atau membuat permintaan ke Library Klien Cloud, hal berikut akan terjadi:

Library klien mendeteksi bahwa permintaan dibuat ke Google Cloud API atau Library Klien Cloud, dan meminta token akses OAuth 2.0 untuk identitas layanan dari server metadata instance.
Server metadata instance menyediakan token akses IAM untuk akun layanan yang dikonfigurasi sebagai identitas layanan.
Permintaan ke Google Cloud API dikirim dengan token akses OAuth 2.0.
IAM memverifikasi identitas layanan yang dirujuk dalam token akses untuk izin yang diperlukan, dan memeriksa binding kebijakan sebelum meneruskan panggilan ke endpoint API.
Google Cloud API akan melakukan operasi tersebut.

Memanggil Google Cloud API dari Cloud Run. — **Gambar 1.** Cloud Run menghasilkan token akses dari server metadata, dan IAM menggunakan token akses tersebut untuk memverifikasi bahwa identitas layanan Cloud Run yang ditetapkan diautentikasi untuk mengakses Google Cloud API.

Membuat token akses untuk permintaan Cloud Run guna memanggil Google Cloud API

Jika kode Cloud Run Anda menggunakan Library Klien Cloud, Anda akan mengonfigurasi identitas layanan di Cloud Run dengan menetapkan akun layanan saat deployment atau eksekusi. Tindakan ini memungkinkan library otomatis memperoleh token akses untuk mengautentikasi permintaan kode Anda. Jika kode Cloud Run berkomunikasi dengan layanan Cloud Run lain yang diautentikasi, Anda harus menambahkan token akses ke permintaan Anda.

Untuk menetapkan akun layanan sebagai identitas layanan, lihat panduan berikut:

Namun, jika menggunakan kode kustom sendiri atau perlu membuat permintaan secara terprogram, Anda dapat menggunakan server metadata secara langsung untuk mengambil token identitas dan token akses secara manual yang dijelaskan di bagian berikutnya. Perhatikan bahwa Anda tidak dapat membuat kueri server ini langsung dari mesin lokal karena server metadata hanya tersedia untuk workload yang berjalan di Google Cloud.

Mengambil token ID dan akses menggunakan server metadata

Dua jenis token yang dapat Anda ambil dengan server metadata adalah sebagai berikut:

Token akses OAuth 2.0, yang digunakan untuk memanggil sebagian besar Library Klien Google API.
Token ID, yang digunakan untuk memanggil layanan Cloud Run atau fungsi Cloud Run lainnya, atau untuk memanggil layanan apa pun guna memvalidasi token ID.

Untuk mengambil token, ikuti petunjuk di tab yang sesuai untuk jenis token yang Anda gunakan:

Token akses

Misalnya, jika Anda ingin membuat topik Pub/Sub, gunakan metode projects.topics.create.

Gunakan Server Metadata Compute untuk mengambil token akses:

curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" \
    --header "Metadata-Flavor: Google"

Endpoint ini menampilkan respons JSON dengan atribut access_token.

Dalam permintaan protokol HTTP, permintaan tersebut harus diautentikasi dengan token akses pada header Authorization:
```
PUT https://pubsub.googleapis.com/v1/projects/PROJECT_ID/topics/TOPIC_ID
Authorization: Bearer ACCESS_TOKEN
```
Dengan keterangan:
- PROJECT_ID adalah project ID Anda.
- TOPIC_ID adalah topic ID Anda.
- ACCESS_TOKEN adalah token akses yang Anda ambil pada langkah sebelumnya.
Respons:
```
{
    "name": "projects/PROJECT_ID/topics/TOPIC_ID"
}
```

Token ID

Gunakan Server Metadata Compute untuk mengambil token identitas dengan audiens tertentu:

curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/identity?audience=AUDIENCE" \
    --header "Metadata-Flavor: Google"

Dengan AUDIENCE adalah Audiens JWT yang diminta.

Untuk layanan Cloud Run, audiens harus berupa URL layanan yang Anda panggil atau audiens kustom, seperti domain kustom, yang dikonfigurasi untuk layanan tersebut.

https://service.domain.com

Resource lainnya dapat berupa Client ID OAuth dari resource yang dilindungi IAP:

1234567890.apps.googleusercontent.com

Langkah berikutnya

Konfigurasikan identitas layanan untuk layanan atau tugas.
Pelajari cara mengelola akses atau mengautentikasi developer, layanan, dan pengguna akhir ke layanan Anda.
Untuk panduan menyeluruh terkait aplikasi yang menggunakan identitas layanan untuk meminimalkan risiko keamanan, ikuti tutorial mengamankan layanan Cloud Run.