Contrôle des accès avec IAM (1re génération)
Vous (c'est-à-dire l'utilisateur ou le compte de service déployant la fonction) pouvez définir le contrôle d'accès à l'aide de rôles au niveau du projet. Attribuez un rôle à un membre d'un projet ou à un compte de service pour déterminer son niveau d'accès à votre projet Google Cloud et à ses ressources. Par défaut, tous les projets Google Cloud sont configurés avec un seul utilisateur : le créateur du projet d'origine. Aucun autre utilisateur n'a accès au projet et, par conséquent, aux fonctions afférentes, avant d'être ajouté en tant que membre de l'équipe de projet.
Contrôle des accès pour les utilisateurs
Vous pouvez ajouter des utilisateurs en tant que membres de l'équipe de votre projet et leur attribuer des rôles grâce à Identity and Access Management (IAM).
Cloud Run Functions accepte les rôles de base d'éditeur, de propriétaire et de lecteur, qui accordent les autorisations suivantes :
- Éditeur et propriétaire : accès en lecture et en écriture à toutes les ressources liées aux fonctions. Permet aux utilisateurs de déployer, mettre à jour et supprimer des fonctions. Accès à toutes les autres ressources du projet.
- Lecteur : accès en lecture seule aux fonctions et aux emplacements. Permet aux utilisateurs de répertorier les fonctions et de voir leurs détails, mais ne leur permet pas d'afficher le code source. Accès à toutes les autres ressources du projet.
Cloud Run Functions accepte également les rôles prédéfinis Développeur et Lecteur, qui accordent les autorisations suivantes :
- Développeur : accès en lecture et en écriture à toutes les ressources relatives aux fonctions. Permet aux utilisateurs de déployer, mettre à jour et supprimer des fonctions. Pas d'accès aux autres ressources du projet.
- Lecteur : accès en lecture seule aux fonctions et aux emplacements. Permet aux utilisateurs de répertorier les fonctions et de voir leurs détails, mais ne leur permet pas d'afficher le code source. Pas d'accès aux autres ressources du projet.
Contrôle des accès pour les comptes de service
Un compte de service est un type de compte Google Cloud spécial qui sert d'identité à un utilisateur non humain devant s'authentifier et disposer d'autorisations pour accéder aux données et effectuer diverses opérations. Certains de ces comptes sont créés et gérés par Google et sont appelés agents de service.
Les comptes de service suivants sont utilisés pour Cloud Run Functions :
Nom | ID de membre | Rôle |
---|---|---|
Compte de service App Engine par défaut | PROJECT_ID@appspot.gserviceaccount.com |
Éditeur |
Agent de service Google Cloud Run Functions | service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com |
Agent de service Cloud Run Functions |
— | PROJECT_NUMBER@cloudbuild.gserviceaccount.com |
Compte de service Cloud Build |
Compte de service Cloud Build | service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com |
Agent de service Cloud Build |
Agent de service Google Container Registry | service-PROJECT_NUMBER@containerregistry.iam.gserviceaccount.com |
Agent de service Container Registry |
Agent de service Artifact Registry | service-PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com |
Agent de service Artifact Registry |
Comptes de service d'exécution
Lors de l'exécution, Cloud Run Functions utilise par défaut le compte de service App Engine par défaut (PROJECT_ID@appspot.gserviceaccount.com
), qui a le rôle d'éditeur sur le projet. Vous pouvez modifier le rôle de ces comptes de service pour limiter ou étendre les autorisations de vos fonctions en cours d'exécution. Vous pouvez également modifier le compte de service utilisé en fournissant un compte de service individuel autre que celui par défaut.
Pour en savoir plus sur les comptes de service, consultez la documentation relative aux comptes de service.
Comptes de service d'administration
Pour effectuer des actions d'administration sur votre projet lors de la création, de la mise à jour ou de la suppression de fonctions, tous les projets dans Cloud Run Functions nécessitent le compte de service de l'agent de service Google Cloud Run Functions (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com
).
De plus, tous les environnements d'exécution effectuent la compilation et le stockage d'images de conteneur dans votre projet. Pour permettre ceci, vous devez également provisionner les éléments suivants :
- Le compte de service Cloud Build de base (
PROJECT_NUMBER@cloudbuild.gserviceaccount.com
) - Le compte de service de l'agent de service Cloud Build (
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
) - Le compte de service de l'agent de service Google Container Registry (
service-PROJECT_NUMBER@containerregistry.iam.gserviceaccount.com
)
Ces comptes de service doivent être associés aux rôles répertoriés dans le tableau précédent.
Compte de service de l'agent de service Cloud Run Functions
Par défaut, le compte de service de l'agent de service Google Cloud Run Functions (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com
) dispose du rôle cloudfunctions.serviceAgent sur votre projet.
Voici quelques-unes des autorisations notables utilisées par cloudfunctions.serviceAgent
:
Autorisation | Description |
---|---|
roles/artifactregistry.admin |
Gérer les dépôts et stocker des images de compilation dans Artifact Registry. |
roles/cloudbuild.builds.editor |
Nécessaire pour utiliser Cloud Build pour exécuter des builds dans le projet de l'utilisateur. |
roles/cloudbuild.customworkers.builder |
Créer des builds dans des nœuds de calcul personnalisés Cloud Build. |
cloudfunctions.functions.invoke |
Appeler une fonction HTTP avec protection IAM. |
compute.globalOperations.get ,compute.networks.access ,vpcaccess.connectors.{get, use} |
Provisionner des fonctions ayant accès au VPC des projets client. |
firebasedatabase.instances.{get, update} |
Créer des fonctions déclenchées par la base de données Firebase Realtime. |
iam.serviceAccounts.{actAs, getAccessToken, signBlob} |
Utiliser les informations d'identification du compte de service d'exécution. |
iam.serviceAccounts.getOpenIdToken |
Nécessaire pour que l'agent obtienne un jeton OpenID auprès d'une autorité spécifiée par l'utilisateur. Le jeton OpenID est utilisé pour appeler des fonctions exploitant IAM. |
pubsub.subscriptions |
Gérer les abonnements dans le projet de l'utilisateur. |
pubsub.topics |
Gérer les sujets dans le projet de l'utilisateur. |
storage.buckets.{get, update} |
Configurer les notifications sur un bucket Cloud Storage qui déclenche une fonction. |
storage.buckets.create ,storage.objects.{delete, get, create, list} |
Obligatoire pour le stockage du code source dans le projet de l'utilisateur. |
Vous pouvez afficher l'ensemble des autorisations sous les rôles IAM prédéfinis ou en exécutant la commande suivante :
gcloud iam roles describe roles/cloudfunctions.serviceAgent
Vous pouvez réinitialiser ce compte de service sur le rôle par défaut en supprimant le rôle dont il dispose actuellement, quel qu'il soit, et en ajoutant le rôle d'agent de service Cloud Run Functions :
gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com \ --role roles/cloudfunctions.serviceAgent
Résolution des erreurs d'autorisation
Si vous obtenez des erreurs d'autorisation lorsque vous déployez, mettez à jour, supprimez ou exécutez des fonctions dans votre projet, procédez comme suit :
Assurez-vous que vous disposez du rôle d'éditeur ou de propriétaire sur votre projet, ou que vous utilisez le rôle Cloud Run functions Developer (Développeur Cloud Run Functions).
Si vous utilisez le rôle Cloud Run functions Developer (Développeur Cloud Run Functions) au niveau du projet, assurez-vous également d'avoir attribué à l'utilisateur le rôle d'utilisateur du compte de service IAM.
Seules les autorisations d'exécution sont autorisées au niveau de chaque fonction.
Vérifiez que le compte de service de l'agent de service Cloud Run Functions (
service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com
) dispose du rôle cloudfunctions.serviceAgent pour votre projet.Assurez-vous que la case Inclure les rôles attribués par Google située dans l'onglet Autorisations de la page Console IAM est cochée pour ce compte. Vous pouvez également utiliser
gcloud projects add-iam-policy-binding PROJECT_ID
.Vérifiez que vous disposez des autorisations nécessaires pour les sources de déclenchement, telles que Pub/Sub ou Cloud Storage.
Si vous obtenez une erreur "autorisations insuffisantes" ou rencontrez d'autres problèmes d'authentification lorsque vous exécutez vos fonctions, assurez-vous que le compte de service d'exécution dispose des autorisations nécessaires pour accéder aux ressources dont vos fonctions ont besoin. Répétez ensuite les étapes 2 et 3.
Si vous obtenez une erreur "service indisponible" lors du déploiement, assurez-vous que le compte de service d'exécution PROJECT_ID@appspot.gserviceaccount.com
existe dans votre projet. Pour recréer ce compte de service s'il a été supprimé, consultez la section Annuler la suppression d'un compte de service.
Consultez également Résoudre les problèmes liés à Cloud Run Functions.