Controllo dell'accesso con IAM (1ª generazione)
Tu (ovvero l'account utente o di servizio che esegue il deployment della funzione) puoi impostare il controllo accessi utilizzando i ruoli a livello di progetto. Concedi un ruolo a un membro del progetto o a un account di servizio per determinare il livello di accesso al progetto Google Cloud e alle relative risorse. Per impostazione predefinita, tutti i progetti Google Cloud sono associati a un unico utente: il creatore originale del progetto. Nessun altro utente ha accesso al progetto e, di conseguenza, alle funzioni, finché non viene aggiunto un utente come membro del team di progetto.
Controllo dell'accesso per gli utenti
Puoi aggiungere utenti come membri del team al tuo progetto e concedere loro ruoli utilizzando Identity and Access Management (IAM).
Le funzioni Cloud Run supportano i ruoli di base di Editor, Proprietario e Visualizzatore, che concedono le seguenti autorizzazioni:
- Editor e Proprietario: accesso in lettura e scrittura a tutti e risorse correlate alle funzioni. Consente agli utenti di eseguire il deployment, aggiornare ed eliminare le funzioni. Accesso aggiuntivo ad altre risorse del progetto.
- Visualizzatore: accesso in sola lettura a funzioni e località. Consente agli utenti le funzioni e vederne i dettagli, ma non consente di visualizzare codice sorgente. Accesso aggiuntivo ad altre risorse del progetto.
Le funzioni di Cloud Run supportano anche le funzioni di Cloud Run Ruoli predefiniti di Sviluppatore e Visualizzatore, che concedono le seguenti autorizzazioni:
- Sviluppatore: accesso in lettura e scrittura a tutti. e risorse correlate alle funzioni. Consente agli utenti di eseguire il deployment, l'aggiornamento e l'eliminazione funzioni. Nessun accesso ad altre risorse nel progetto.
- Visualizzatore: accesso in sola lettura a funzioni e località. Consente agli utenti le funzioni e vederne i dettagli, ma non consente di visualizzare codice sorgente. Nessun accesso ad altre risorse del progetto.
Controllo dell'accesso per gli account di servizio
R service account è un tipo speciale di Account Google Cloud che funge da identità per un utente "non umano" che deve autenticarsi e avere l'autorizzazione ad accedere ai dati ed eseguire varie azioni. Alcune di questi account sono creati e gestiti da Google stessa e sono noti come agenti di servizio.
Per le funzioni di Cloud Run vengono utilizzati i seguenti account di servizio:
| Nome | ID membro | Ruolo |
|---|---|---|
| Service account predefinito di App Engine | PROJECT_ID@appspot.gserviceaccount.com |
Editor |
| Agente di servizio delle funzioni Google Cloud Run | service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com |
Agente di servizio funzioni Cloud Run |
| — | PROJECT_NUMBER@cloudbuild.gserviceaccount.com |
Account di servizio Cloud Build |
| Account di servizio Cloud Build | service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com |
Cloud Build Service Agent |
| Agente di servizio Google Container Registry | service-PROJECT_NUMBER@containerregistry.iam.gserviceaccount.com |
Container Registry Service Agent |
| Artifact Registry Service Agent | service-PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com |
Artifact Registry Service Agent |
Account di servizio di runtime
In fase di runtime, le funzioni Cloud Run utilizzano per impostazione predefinita l'account di servizio predefinito di App Engine (PROJECT_ID@appspot.gserviceaccount.com), che ha il ruolo Editor nel progetto. Puoi modificare il ruolo di questi account di servizio per limitare o estendere le autorizzazioni per le funzioni in esecuzione. Puoi anche cambiare l'account di servizio utilizzato fornendo un account di servizio individuale non predefinito.
Per scoprire di più sugli account di servizio, consulta la documentazione sugli account di servizio.
Account di servizio amministrativi
Per eseguire azioni amministrative sul progetto durante la creazione:
Aggiornamento o eliminazione di funzioni in tutti i progetti in funzioni di Cloud Run
richiede l'account di servizio dell'agente di servizio per le funzioni Google Cloud Run
(service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com).
Inoltre, tutti i runtime eseguono la creazione e lo stoccaggio delle immagini container all'interno del progetto. A questo scopo, dovrai anche eseguire il provisioning di quanto segue:
- L'account di servizio Cloud Build di base (
PROJECT_NUMBER@cloudbuild.gserviceaccount.com) - L'account di servizio Cloud Build Service Agent (
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com) - L'account di servizio dell'agente di servizio Google Container Registry (
service-PROJECT_NUMBER@containerregistry.iam.gserviceaccount.com)
Questi account di servizio devono avere i ruoli elencati nella precedente tabella.
Account di servizio dell'agente di servizio per le funzioni di Google Cloud Run
Per impostazione predefinita, l'account di servizio Agente di servizio delle funzioni Google Cloud Run
(service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com ha
il ruolo cloudfunctions.serviceAgent nel tuo progetto.
Ecco alcune delle autorizzazioni più importanti che cloudfunctions.serviceAgent
usa:
| Autorizzazione | Descrizione |
|---|---|
roles/artifactregistry.admin |
Gestisci i repository e archivia le immagini di build in Artifact Registry. |
roles/cloudbuild.builds.editor |
Necessaria per utilizzare Cloud Build per eseguire build nel progetto utente. |
roles/cloudbuild.customworkers.builder |
Crea build nei worker personalizzati di Cloud Build. |
cloudfunctions.functions.invoke |
Richiama una funzione HTTP protetta da IAM. |
compute.globalOperations.get,compute.networks.access,vpcaccess.connectors.{get, use} |
Esegui il provisioning delle funzioni con accesso al VPC dei progetti consumer. |
firebasedatabase.instances.{get, update} |
Creare funzioni attivate da Firebase Realtime Database. |
iam.serviceAccounts.{actAs, getAccessToken, signBlob} |
Possibilità di ottenere le credenziali dell'account di servizio di runtime. |
iam.serviceAccounts.getOpenIdToken |
Obbligatorio per consentire all'agente di ottenere un token OpenID in un'autorità specificata dall'utente. Il token OpenID viene utilizzato per richiamare funzioni abilitate per IAM. |
pubsub.subscriptions |
Gestire gli abbonamenti nel progetto dell'utente. |
pubsub.topics |
Gestire gli argomenti nel progetto dell'utente. |
storage.buckets.{get, update} |
Configurare notifiche su un bucket Cloud Storage che attivano una funzione. |
storage.buckets.create,storage.objects.{delete, get, create, list} |
Obbligatorio per archiviare il codice sorgente nel progetto utente. |
Puoi visualizzare l'intero insieme di autorizzazioni nei ruoli IAM predefiniti o eseguendo questo comando:
gcloud iam roles describe roles/cloudfunctions.serviceAgent
Puoi reimpostare questo account di servizio sul ruolo predefinito rimuovendo il ruolo che ha e aggiungendo il ruolo Agente di servizio delle funzioni Cloud Run:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com \ --role roles/cloudfunctions.serviceAgent
Risoluzione degli errori relativi alle autorizzazioni
Se ricevi errori di autorizzazione durante il deployment, l'aggiornamento, l'eliminazione o l'esecuzione del tuo progetto, segui questi passaggi:
Assicurati di disporre del ruolo di editor o Proprietario per il progetto. che utilizzi il ruolo Sviluppatore funzioni Cloud Run.
Se utilizzi il ruolo Sviluppatore funzioni Cloud Run nel progetto livello, assicurati inoltre di avere ha concesso all'utente il ruolo Utente account di servizio IAM.
A livello di funzione sono consentite solo le autorizzazioni di esecuzione.
Verifica che l'account di servizio dell'agente di servizio funzioni di Cloud Run (
service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com) ha il ruolo cloudfunctions.serviceAgent del tuo progetto.Per visualizzare questo account, assicurati che la casella Includi concessioni di ruoli fornite da Google nella scheda Autorizzazioni della pagina Console IAM sia selezionata. In alternativa, puoi utilizzare
gcloud projects add-iam-policy-binding PROJECT_ID.Assicurati di disporre delle autorizzazioni per le origini degli attivatori, ad esempio Pub/Sub o Cloud Storage.
Se ricevi un errore di "autorizzazioni insufficienti" o hai altri i problemi di autenticazione quando esegui le funzioni, assicurati che il runtime che l'account di servizio disponga delle autorizzazioni corrette per accedere alle risorse le funzioni necessarie. Quindi, ripeti i passaggi 2 e 3.
Se ricevi un errore "servizio non disponibile" durante il deployment, assicurati che l'account di servizio di runtime PROJECT_ID@appspot.gserviceaccount.com esista nel tuo progetto. Per ricreare questo account di servizio se è stato eliminato, consulta
Annullare l'eliminazione di un account di servizio.
Vedi anche Risoluzione dei problemi delle funzioni di Cloud Run.