Rollen und Berechtigungen für Cloud Run

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

In diesem Dokument wird beschrieben, wie Sie IAM-Rollen (Identity and Access Management), Berechtigungen und Flags festlegen, um Eventarc-Ereignisse von Google Cloud und Drittanbieterquellen zu empfangen und die Ereignisse an authentifizierte oder nicht authentifizierte Cloud Run-Zieldienste zu senden.

Dieses Dokument enthält Anleitungen für folgende Aufgaben:

  • Dem Nutzer bestimmte IAM-Rollen zuweisen.
  • Gewähren Sie dem Dienstkonto des Triggers bestimmte Rollen und Berechtigungen. Eventarc verwendet ein vom Kunden bereitgestelltes Dienstkonto als Identität des Triggers.
  • Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die Rolle iam.serviceAccountTokenCreator zu.
  • Wenn Sie die Google Cloud CLI verwenden möchten, setzen Sie das Cloud Run-Flag entsprechend, wenn Sie Container-Images oder Überarbeitungen aus einem Quell-Repository in Cloud Run bereitstellen.

Weitere Informationen zu den Optionen für die Zugriffssteuerung in Eventarc finden Sie unter Zugriffssteuerung.

Eventarc-Ereignistypen und -Rollen

Eventarc unterstützt Trigger für folgende Ereignistypen:

  • Cloud-Audit-Logs: Eventarc empfängt Ereignisse aus Google Cloud-Quellen mit Cloud-Audit-Logs.
  • Direkte Ereignisse: Eventarc empfängt direkte Ereignisse, z. B. ein Update auf einen Cloud Storage-Bucket, von Google Cloud-Quellen.
  • Cloud Pub/Sub-Ereignisse: Eventarc empfängt Ereignisse von Drittanbieterquellen mit Pub/Sub-Benachrichtigungen.

Authentifizierte Aufrufe von Cloud Run

Gewähren Sie je nach Ereignistyp die entsprechenden IAM-Rollen, Berechtigungen und Flags für einen authentifizierten Cloud Run-Zieldienst:

Cloud-Audit-Logs

So sorgen Sie dafür, dass Sie Ereignisse aus Google Cloud-Quellen erhalten, während Sie sie an ein authentifiziertes Cloud Run-Ziel senden:

Nutzerrollen

Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin) zu:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=PRINCIPAL \
  --role='roles/eventarc.admin'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com


Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser) zu:

gcloud iam service-accounts add-iam-policy-binding \
 SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \
   --member=PRINCIPAL \
   --role='roles/iam.serviceAccountUser'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com

Trigger-Dienstkontorollen

Weisen Sie dem Dienstkonto des Triggers die Rolle "Cloud Run-Aufrufer" (roles/run.invoker) zu.

gcloud run services add-iam-policy-binding SERVICE_NAME \
  --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \
  --role='roles/run.invoker'

Ersetzen Sie die folgenden Werte:

  • SERVICE_NAME: Name des Dienstes, der von diesem Trigger aufgerufen werden soll.
  • SERVICE_ACCOUNT_USER_EMAIL: E-Mail-Adresse des Dienstkontos.

Weisen Sie dem Dienstkonto des Triggers die Rolle "Eventarc-Ereignisempfänger" (roles/eventarc.eventReceiver) zu:

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
  --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \
  --role='roles/eventarc.eventReceiver'

Ersetzen Sie SERVICE_ACCOUNT_USER_EMAIL durch die E-Mail-Adresse des Dienstkontos.

Pub/Sub-Dienstkontorolle

Die Rolle "Dienstkonto-Token-Ersteller" (roles/iam.serviceAccountTokenCreator) wird dem Pub/Sub-Dienstkonto standardmäßig zugewiesen.

Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.

export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')"

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
    --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \
    --role='roles/iam.serviceAccountTokenCreator'

Cloud Run-Flag

Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am authentifizierten Cloud Run-Ziel bereit:

gcloud run deploy SERVICE_ACCOUNT_ID \
  --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME

Ersetzen Sie die folgenden Werte:

  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID
  • SERVICE_NAME: der Name des Cloud Run-Dienstes.

Direkte Ereignisse

So sorgen Sie dafür, dass Ereignisse direkt von der Quelle empfangen werden, z. B. die Aktualisierung eines Cloud Storage-Buckets, während an ein authentifiziertes Cloud Run-Ziel gesendet wird:

Nutzerrollen

Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin) zu:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=PRINCIPAL \
  --role='roles/eventarc.admin'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com


Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser) zu:

gcloud iam service-accounts add-iam-policy-binding \
  SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \
     --member=PRINCIPAL \
     --role='roles/iam.serviceAccountUser'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID.
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com

Cloud Storage-Dienstkontorolle

Wenn Sie einen Trigger für ein direktes Ereignis aus Cloud Storage erstellen, weisen Sie dem Cloud Storage-Dienstkonto die Pub/Sub-Publisher-Rolle (roles/pubsub.publisher) zu:

SERVICE_ACCOUNT="$(gsutil kms serviceaccount -p PROJECT_ID)"

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:${SERVICE_ACCOUNT}"
  --role='roles/pubsub.publisher'

Ersetzen Sie PROJECT_ID durch die Google Cloud-Projekt-ID.

Trigger-Dienstkontorollen

Weisen Sie dem Dienstkonto des Triggers die Rolle "Cloud Run-Aufrufer" (roles/run.invoker) zu.

gcloud run services add-iam-policy-binding SERVICE_NAME \
  --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \
  --role='roles/run.invoker'

Ersetzen Sie die folgenden Werte:

  • SERVICE_NAME: Name des Dienstes, der von diesem Trigger aufgerufen werden soll.
  • SERVICE_ACCOUNT_USER_EMAIL: E-Mail-Adresse des Dienstkontos.

Weisen Sie dem Dienstkonto des Triggers die Rolle "Eventarc-Ereignisempfänger" (roles/eventarc.eventReceiver) zu:

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
  --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \
  --role='roles/eventarc.eventReceiver'

Ersetzen Sie SERVICE_ACCOUNT_USER_EMAIL durch die E-Mail-Adresse des Dienstkontos.

Pub/Sub-Dienstkontorolle

Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.

Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.

export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')"

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
    --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \
    --role='roles/iam.serviceAccountTokenCreator'

Cloud Run-Flag

Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am authentifizierten Cloud Run-Ziel bereit:

gcloud run deploy SERVICE_ACCOUNT_ID \
  --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME

Ersetzen Sie die folgenden Werte:

  • SERVICE_ACCOUNT_ID durch die Dienstkonto-ID.
  • SERVICE_NAME: Name des Cloud Run-Dienstes.

Pub/Sub-Thema

So sorgen Sie dafür, dass Sie Ereignisse aus Drittanbieterquellen erhalten, während Sie sie an ein authentifiziertes Cloud Run-Ziel senden:

Nutzerrollen

Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin) zu:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=PRINCIPAL \
  --role='roles/eventarc.admin'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com


Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser) zu:

gcloud iam service-accounts add-iam-policy-binding \
  SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \
     --member=PRINCIPAL \
     --role='roles/iam.serviceAccountUser'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID.
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com

Trigger-Dienstkontorollen

Weisen Sie dem Dienstkonto des Triggers die Rolle "Cloud Run-Aufrufer" (roles/run.invoker) zu.

gcloud run services add-iam-policy-binding SERVICE_NAME \
  --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \
  --role='roles/run.invoker'

Ersetzen Sie die folgenden Werte:

  • SERVICE_NAME: Name des Dienstes, der von diesem Trigger aufgerufen werden soll.
  • SERVICE_ACCOUNT_USER_EMAIL: die E-Mail-Adresse des Dienstkontos.

Pub/Sub-Dienstkontorolle

Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.

Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.

export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')"

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
    --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \
    --role='roles/iam.serviceAccountTokenCreator'

Cloud Run-Flag

Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am authentifizierten Cloud Run-Ziel bereit:

gcloud run deploy SERVICE_ACCOUNT_ID \
  --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME

Ersetzen Sie die folgenden Werte:

  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID.
  • SERVICE_NAME: der Name des Cloud Run-Dienstes.

Nicht authentifizierte Aufrufe von Cloud Run

Gewähren Sie je nach Ereignistyp die entsprechenden IAM-Rollen, Berechtigungen und Flags für einen nicht authentifizierten Cloud Run-Zieldienst:

Cloud-Audit-Logs

So gewährleisten Sie, dass Sie Ereignisse von Google Cloud-Quellen erhalten, während Sie sie an ein nicht authentifiziertes Cloud Run-Ziel senden:

Nutzerrollen

Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin) zu:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=PRINCIPAL \
  --role='roles/eventarc.admin'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com


Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser) zu:

gcloud iam service-accounts add-iam-policy-binding \
  SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \
    --member=PRINCIPAL \
    --role='roles/iam.serviceAccountUser'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID.
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com

Trigger-Dienstkontorollen

Weisen Sie dem Dienstkonto des Triggers die Rolle "Eventarc-Ereignisempfänger" (roles/eventarc.eventReceiver) zu:

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
  --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \
  --role='roles/eventarc.eventReceiver'

Ersetzen Sie SERVICE_ACCOUNT_USER_EMAIL durch die E-Mail-Adresse des Dienstkontos.

Pub/Sub-Dienstkontorolle

Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.

Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.

export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')"

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
    --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \
    --role='roles/iam.serviceAccountTokenCreator'

Cloud Run-Flag

Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am nicht authentifizierten Cloud Run-Ziel bereit:

gcloud run deploy SERVICE_ACCOUNT_ID \
  --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME \
  --allow-unauthenticated

Ersetzen Sie die folgenden Werte:

  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID.
  • SERVICE_NAME: der Name des Cloud Run-Dienstes.

Direkte Ereignisse

So sorgen Sie dafür, dass Ereignisse direkt von der Quelle empfangen werden, z. B. die Aktualisierung eines Cloud Storage-Buckets, während an ein nicht authentifiziertes Cloud Run-Ziel gesendet wird:

Nutzerrollen

Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin) zu:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=PRINCIPAL \
  --role='roles/eventarc.admin'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com


Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser) zu:

gcloud iam service-accounts add-iam-policy-binding \
  SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \
    --member=PRINCIPAL \
    --role='roles/iam.serviceAccountUser'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID.
  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Format user|group|serviceAccount:email oder domain:domain haben.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com

Cloud Storage-Dienstkontorolle

Wenn Sie einen Trigger für ein direktes Ereignis aus Cloud Storage erstellen, weisen Sie dem Cloud Storage-Dienstkonto die Pub/Sub-Publisher-Rolle (roles/pubsub.publisher) zu:

SERVICE_ACCOUNT="$(gsutil kms serviceaccount -p PROJECT_ID)"

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:${SERVICE_ACCOUNT}"
  --role='roles/pubsub.publisher'

Ersetzen Sie PROJECT_ID durch die Google Cloud-Projekt-ID.

Trigger-Dienstkontorollen

Weisen Sie dem Dienstkonto des Triggers die Rolle "Eventarc-Ereignisempfänger" (roles/eventarc.eventReceiver) zu:

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
  --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \
  --role='roles/eventarc.eventReceiver'

Ersetzen Sie SERVICE_ACCOUNT_USER_EMAIL durch die E-Mail-Adresse des Dienstkontos.

Pub/Sub-Dienstkontorolle

Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.

Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.

export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')"

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
    --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \
    --role='roles/iam.serviceAccountTokenCreator'

Cloud Run-Flag

Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am nicht authentifizierten Cloud Run-Ziel bereit:

gcloud run deploy SERVICE_ACCOUNT_ID \
  --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME \
  --allow-unauthenticated

Ersetzen Sie die folgenden Werte:

  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID.
  • SERVICE_NAME: der Name des Cloud Run-Dienstes.

Pub/Sub-Thema

So sorgen Sie dafür, dass Sie Ereignisse aus Drittanbieterquellen erhalten, während Sie sie an ein nicht authentifiziertes Cloud Run-Ziel senden:

Nutzerrollen

Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin) zu:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=PRINCIPAL \
  --role='roles/eventarc.admin'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • USER_EMAIL: die E-Mail-Adresse des Nutzers.

    Beispiele: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com

Trigger-Dienstkontorollen

Pub/Sub-Dienstkontorolle

Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.

Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.

export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')"

gcloud projects add-iam-policy-binding $(gcloud config get-value project) \
    --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \
    --role='roles/iam.serviceAccountTokenCreator'

Cloud Run-Flag

Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am nicht authentifizierten Cloud Run-Ziel bereit:

gcloud run deploy SERVICE_ACCOUNT_ID \
  --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME \
  --allow-unauthenticated

Ersetzen Sie die folgenden Werte:

  • SERVICE_ACCOUNT_ID: die Dienstkonto-ID.
  • SERVICE_NAME: der Name des Cloud Run-Dienstes.