Controllo dell'accesso con IAM (1ª generazione.)
Tu (ovvero l'utente o l'account di servizio che esegue il deployment della funzione) puoi impostare il controllo accessi utilizzando i ruoli a livello di progetto. Concedi un ruolo a un membro del progetto o a un account di servizio per determinare il livello di accesso al progetto Google Cloud e alle relative risorse. Per impostazione predefinita, tutti i progetti Google Cloud sono associati a un unico utente: il creatore originale del progetto. Nessun altro utente ha accesso al progetto e, di conseguenza, alle funzioni, finché non viene aggiunto un utente come membro del team di progetto.
Controllo dell'accesso per gli utenti
Puoi aggiungere utenti come membri del team al tuo progetto e concedere loro ruoli utilizzando Identity and Access Management (IAM).
Le funzioni Cloud Run supportano i ruoli di base di Editor, Proprietario e Visualizzatore, che concedono le seguenti autorizzazioni:
- Editor e Proprietario: accesso in lettura e scrittura a tutte le risorse correlate alle funzioni. Consente agli utenti di eseguire il deployment, aggiornare ed eliminare le funzioni. Accesso aggiuntivo ad altre risorse del progetto.
- Visualizzatore: accesso in sola lettura a funzioni e località. Consente agli utenti di elencare le funzioni e visualizzarne i dettagli, ma non consente loro di visualizzare il codice sorgente. Accesso aggiuntivo ad altre risorse del progetto.
Le funzioni Cloud Run supportano anche i ruoli Sviluppatore e Visualizzatore predefiniti, che concedono le seguenti autorizzazioni:
- Sviluppatore: accesso in lettura e scrittura a tutte le risorse correlate alle funzioni. Consente agli utenti di eseguire il deployment, aggiornare ed eliminare le funzioni. Nessun accesso ad altre risorse del progetto.
- Visualizzatore: accesso in sola lettura a funzioni e località. Consente agli utenti di elencare le funzioni e visualizzarne i dettagli, ma non consente loro di visualizzare il codice sorgente. Nessun accesso ad altre risorse del progetto.
Controllo dell'accesso per gli account di servizio
Un account di servizio è un tipo speciale di account Google Cloud che funge da identità per un utente non umano che deve effettuare l'autenticazione ed essere autorizzato ad accedere ai dati ed eseguire varie azioni. Alcuni di questi account sono creati e gestiti da Google stesso e sono noti come agenti di servizio.
Per le funzioni Cloud Run vengono utilizzati i seguenti account di servizio:
| Nome | ID membro | Ruolo |
|---|---|---|
| Service account predefinito di App Engine | PROJECT_ID@appspot.gserviceaccount.com |
Editor |
| Agente di servizio delle funzioni Google Cloud Run | service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com |
Agente di servizio Cloud Run Functions |
| — | PROJECT_NUMBER@cloudbuild.gserviceaccount.com |
Account di servizio Cloud Build |
| Account di servizio Cloud Build | service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com |
Cloud Build Service Agent |
| Agente di servizio Google Container Registry | service-PROJECT_NUMBER@containerregistry.iam.gserviceaccount.com |
Container Registry Service Agent |
| Artifact Registry Service Agent | service-PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com |
Artifact Registry Service Agent |
Service account di runtime
In fase di runtime, le funzioni Cloud Run utilizzano per impostazione predefinita l'account di servizio predefinito di App Engine (PROJECT_ID@appspot.gserviceaccount.com), che ha il ruolo Editor nel progetto. Puoi modificare il ruolo di questi account di servizio per limitare o estendere le autorizzazioni per le funzioni in esecuzione. Puoi anche cambiare l'account di servizio utilizzato fornendo un account di servizio individuale non predefinito.
Per scoprire di più sugli account di servizio, consulta la documentazione sugli account di servizio.
Account di servizio amministrativi
Per eseguire azioni amministrative sul progetto durante la creazione, l'aggiornamento o l'eliminazione delle funzioni, tutti i progetti nelle funzioni Cloud Run richiedono l'account di servizio Agente di servizio delle funzioni Google Cloud Run (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com).
Inoltre, tutti i runtime eseguono la creazione e lo stoccaggio delle immagini container all'interno del progetto. Per supportare questa operazione, devi eseguire il provisioning di quanto segue:
- L'account di servizio Cloud Build di base (
PROJECT_NUMBER@cloudbuild.gserviceaccount.com) - L'account di servizio Cloud Build Service Agent (
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com) - L'account di servizio dell'agente di servizio Google Container Registry (
service-PROJECT_NUMBER@containerregistry.iam.gserviceaccount.com)
Questi account di servizio devono avere i ruoli elencati nella precedente tabella.
Account di servizio dell'agente di servizio delle funzioni Google Cloud Run
Per impostazione predefinita, l'account di servizio Agente di servizio delle funzioni Google Cloud Run
(service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com ha
il ruolo cloudfunctions.serviceAgent nel tuo progetto.
Ecco alcune delle autorizzazioni più importanti utilizzate da cloudfunctions.serviceAgent:
| Autorizzazione | Descrizione |
|---|---|
roles/artifactregistry.admin |
Gestisci i repository e archivia le immagini di build in Artifact Registry. |
roles/cloudbuild.builds.editor |
Obbligatorio per utilizzare Cloud Build per eseguire build nel progetto dell'utente. |
roles/cloudbuild.customworkers.builder |
Crea build nei worker personalizzati di Cloud Build. |
cloudfunctions.functions.invoke |
Richiama una funzione HTTP protetta da IAM. |
compute.globalOperations.get,compute.networks.access,vpcaccess.connectors.{get, use} |
Esegui il provisioning delle funzioni con accesso al VPC dei progetti consumer. |
firebasedatabase.instances.{get, update} |
Crea funzioni attivate da Firebase Realtime Database. |
iam.serviceAccounts.{actAs, getAccessToken, signBlob} |
Possibilità di ottenere le credenziali dell'account di servizio di runtime. |
iam.serviceAccounts.getOpenIdToken |
Obbligatorio per consentire all'agente di ottenere un token OpenID in un'autorità specificata dall'utente. Il token OpenID viene utilizzato per richiamare le funzioni abilitate per IAM. |
pubsub.subscriptions |
Gestire gli abbonamenti nel progetto dell'utente. |
pubsub.topics |
Gestire gli argomenti nel progetto dell'utente. |
storage.buckets.{get, update} |
Configurare notifiche su un bucket Cloud Storage che attivano una funzione. |
storage.buckets.create,storage.objects.{delete, get, create, list} |
Obbligatorio per l'archiviazione del codice sorgente nel progetto dell'utente. |
Puoi visualizzare l'intero insieme di autorizzazioni nei ruoli IAM predefiniti o eseguendo questo comando:
gcloud iam roles describe roles/cloudfunctions.serviceAgent
Puoi reimpostare questo account di servizio sul ruolo predefinito rimuovendo il ruolo che ha e aggiungendo il ruolo Agente di servizio delle funzioni Cloud Run:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com \ --role roles/cloudfunctions.serviceAgent
Risolvere i problemi relativi alle autorizzazioni
Se ricevi errori di autorizzazione durante il deployment, l'aggiornamento, l'eliminazione o l'esecuzione di funzioni nel progetto, svolgi i seguenti passaggi:
Assicurati di avere il ruolo Editor o Proprietario nel tuo progetto oppure di utilizzare il ruolo Sviluppatore di Cloud Run Functions.
Se utilizzi il ruolo Sviluppatore di funzioni Cloud Run a livello di progetto, assicurati inoltre di aver concesso all'utente il ruolo Utente account di servizio IAM.
A livello di funzione sono consentite solo le autorizzazioni di esecuzione.
Verifica che l'account di servizio Agente di servizio delle funzioni Cloud Run (
service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com) abbia il ruolo cloudfunctions.serviceAgent per il tuo progetto.Per visualizzare questo account, assicurati che la casella Includi concessioni di ruoli fornite da Google nella scheda Autorizzazioni della pagina Console IAM sia selezionata. In alternativa, puoi utilizzare
gcloud projects add-iam-policy-binding PROJECT_ID.Assicurati di disporre delle autorizzazioni per le origini degli trigger, ad esempio Pub/Sub o Cloud Storage.
Se ricevi un errore "Autorizzazioni insufficienti" o se riscontri altri problemi di autenticazione durante l'esecuzione delle funzioni, assicurati che l'account di servizio di runtime disponga delle autorizzazioni corrette per accedere alle risorse di cui hanno bisogno le funzioni. Quindi, ripeti i passaggi 2 e 3.
Se ricevi un errore "servizio non disponibile" durante il deployment, assicurati che l'account di servizio di runtime PROJECT_ID@appspot.gserviceaccount.com esista nel tuo progetto. Per ricreare questo account di servizio se è stato eliminato, consulta
Annullare l'eliminazione di un account di servizio.
Consulta anche la sezione Risoluzione dei problemi relativi a Cloud Run Functions.