呼び出しの認証(第 1 世代)
認証された Cloud Run functions を呼び出すには、基盤となるプリンシパルが次の要件を満たしている必要があります。
- 関数を呼び出す権限を持っている。
- 関数を呼び出すときに ID トークンを提供する。
プリンシパルとは何でしょうか。Cloud Run functions の保護で説明されているように、Cloud Run functions は次の 2 種類の ID をサポートしています。これらはプリンシパルとも呼ばれます。
- サービス アカウント: 関数、アプリケーション、VM など、人以外の ID として機能する特別なアカウントです。これにより、人以外の認証を行うことができます。
- ユーザー アカウント: 個々の Google アカウント所有者、または Google グループのような Google が管理するエンティティの一員など、人を表します。
基本的な IAM コンセプトの詳細については、IAM の概要をご覧ください。
認証された Cloud Run functions の関数を呼び出すには、プリンシパルに呼び出し元の IAM 権限が必要です。
cloudfunctions.functions.invoke
。通常は起動元ロールによって行われます。
これらの権限を付与するには、関数呼び出しに対する関数の認証で示されているように、add-invoker-policy-binding
コマンドを使用します。
関数でその他の管理アクションを作成、更新、実行するには、プリンシパルに適切なロールが割り当てられている必要があります。ロールには、プリンシパルが実行できるアクションを定義する権限が含まれています。詳細については、IAM を使用したアクセスの承認をご覧ください。
関数の呼び出しは、さらに複雑になる可能性があります。イベント ドリブン関数を呼び出すことができるのは、関数が登録されているイベントソースだけですが、HTTP 関数は、異なる場所で発生するさまざまな種類の ID によって呼び出すことができます。呼び出し元は、関数やその関数を使用したい別の関数またはサービスをテストするデベロッパーである可能性があります。デフォルトでは、これらの ID は、自身を認証するためのリクエストとともに ID トークンを提供する必要があります。また、使用するアカウントに適切な権限が付与されている必要もあります。
詳しくは、ID トークンの生成と使用をご覧ください。
認証の例
このセクションでは、呼び出しの認証の例をいくつか示します。
例 1: デベロッパー テストの認証
デベロッパーは、関数を作成、更新、削除するためのアクセス権が必要になります。また、アクセス権は通常の(IAM)プロセスを使用して付与されます。
ただし、デベロッパーは、テスト目的で関数を呼び出す必要がある場合もあります。curl
などのツールを使用して関数を呼び出すには、次の点にご注意ください。
呼び出し権限を含む Cloud Run functions ユーザー アカウントにロールを割り当てます。
cloudfunctions.functions.invoke
。通常は起動元ロールによって行われます。デフォルトでは、Cloud Run functions 管理者と Cloud Run functions デベロッパーのロールにこの権限が含まれています。ロールとそれに関連する権限の詳細については、Cloud Run functions の IAM ロールをご覧ください。
ローカルマシンから作業している場合は、Google Cloud CLI を初期化してコマンドライン アクセスを設定します。
Authorization
ヘッダーに保存されている Google 生成の ID トークンとして認証情報をリクエストに提供します。たとえば、gcloud
を使用して ID トークンを取得するには、次のコマンドを実行します。curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" \ https://FUNCTION_URL
ここで、FUNCTION_URL は関数の URL です。この URL は、Google Cloud コンソールの Cloud Run functions のページから取得するか、Google Cloud CLI のデプロイ コマンドの例の最初のステップで説明されている
gcloud functions describe
コマンドを実行して取得します。
呼び出す関数に対する cloudfunctions.functions.invoke
権限がアカウントに付与されていれば、gcloud
によって作成されたトークンを使用して、どのプロジェクトでも HTTP 関数を呼び出すことができます。開発目的では、gcloud
で生成された ID トークンを使用します。ただし、このようなトークンにはオーディエンス クレームがないため、リレー攻撃を受けやすくなります。本番環境では、適切な対象を指定したサービス アカウントに対して発行された ID トークンを使用します。この方法では、トークンの使用を目的のサービスのみに制限することでセキュリティを強化します。
通常どおり、関数の開発と使用に必要な最小限の権限セットを割り当てることをおすすめします。関数の IAM ポリシーは、必要最小限のユーザーとサービス アカウントに限定してください。
例 2: 関数呼び出しに対する関数の認証
複数の関数を接続するサービスをビルドする場合は、それぞれの関数が他の関数の特定のサブセットにのみリクエストを送信できるようにすることをおすすめします。たとえば、login
関数の場合、user profiles
関数へのアクセスは許可しますが、search
関数へのアクセスは許可しません。
特定の呼び出し側関数からのリクエストを受信するように受信側関数を構成するには、受信側の関数で、呼び出し側関数のサービス アカウントに適切な起動元ロールを付与する必要があります。起動元ロールは Cloud Run functions の起動元(roles/cloudfunctions.invoker
)です。
コンソール
Cloud Run functions の起動元を使用します。
Google Cloud コンソールに移動します。
受信側関数の横にあるチェックボックスをオンにします (関数自体はクリックしないでください)。
画面の上部の [権限] をクリックします。[権限] パネルが開きます。
[プリンシパルを追加] をクリックします。
[新しいプリンシパル] フィールドに、呼び出し側関数の ID を入力します。これはサービス アカウントのメールアドレスです。
[役割を選択] プルダウン メニューから Cloud Functions > Cloud Functions 起動元 役割を選択します。
[保存] をクリックします。
gcloud
gcloud functions add-invoker-policy-binding
コマンドを使用します。
gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \ --member='serviceAccount:CALLING_FUNCTION_IDENTITY'
add-invoker-policy-binding
コマンドは、指定されたメンバー(プリンシパル)が指定された関数を呼び出すことを許可する、呼び出し元ロールの IAM ポリシー バインディングを追加します。Google Cloud CLI は、関数の世代を自動的に検出し、適切な呼び出し元ロール(第 1 世代の場合は cloudfunctions.invoker
)を追加します。
次のように置き換えます。
RECEIVING_FUNCTION
: 受信関数の名前。CALLING_FUNCTION_IDENTITY
: 呼び出し元関数の ID(サービス アカウントのメールアドレス)。
この呼び出し側関数は受信側関数を呼び出すため、認証用に Google によって署名された ID トークンも備えている必要があります。これには、次の 2 つの手順を行います。
audience フィールド(
aud
)に受信側関数の URL を設定して、Google によって署名された ID トークンを作成します。関数に対するリクエストの
Authorization: Bearer ID_TOKEN
ヘッダーに ID トークンを含めます。
このプロセスを管理する最も簡単かつ信頼性の高い方法は、以下に示すように認証ライブラリを使用してこのトークンを生成し、適用することです。
ID トークンの生成
このセクションでは、プリンシパルが関数を呼び出すために必要な ID トークンを生成するさまざまな方法について説明します。
ID トークンなしの未認証アクセスは可能ですが、有効にする必要があります。詳しくは、IAM を使用したアクセスの承認をご覧ください。
プログラムでトークンを生成する
次のコードは、ID トークンを生成した後、そのトークンを使用して Cloud Run functions を呼び出します。このコードは、ライブラリが認証情報を取得できる環境で動作します。これには、ローカルのアプリケーションのデフォルト認証情報をサポートする環境も含まれます。
Node.js
Python
Go
Java
手動でのトークンの生成
関数呼び出しの際になんらかの理由で認証ライブラリを使用できない場合は、Compute Metadata Server を使用する方法、または自己署名 JWT を作成して Google によって署名された ID トークンと交換する方法のいずれかを使用して手動で ID トークンを取得できます。
メタデータ サーバーの使用
次のように、Compute Metadata Server を使用して、特定のユーザーの ID トークンを取得します。
curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/identity?audience=AUDIENCE" \
-H "Metadata-Flavor: Google"
AUDIENCE は、呼び出す関数の URL に置き換えます。この URL は、前述のデベロッパー テストの認証セクションで説明されている方法で取得できます。
Google によって署名された ID トークンと自己署名 JWT の交換
受信側の関数で、呼び出し側関数のサービス アカウントに起動元(
roles/cloudfunctions.invoker
)ロールを付与します。サービス アカウントとキーを作成し、呼び出し側関数またはサービスがリクエストを発信するホストに、秘密鍵(JSON 形式)を含むファイルをダウンロードします。
ヘッダーを
{"alg":"RS256","typ":"JWT"}
に設定して JWT を作成します。ペイロードには、受信側関数の URL に設定されたtarget_audience
クレームと、上述のサービス アカウントのメールアドレスに設定されたiss
クレームとsub
クレームを含める必要があります。また、exp
クレームとiat
クレームも含める必要があります。aud
クレームはhttps://www.googleapis.com/oauth2/v4/token
に設定する必要があります。先ほどダウンロードした秘密鍵を使用して、JWT に署名します。
この JWT を使用して、https://www.googleapis.com/oauth2/v4/token に POST リクエストを送信します。認証データはリクエストのヘッダーと本文に含める必要があります。
ヘッダー内:
Authorization: Bearer $JWT - where $JWT is the JWT you just created Content-Type: application/x-www-form-urlencoded
本文内:
grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&assertion=$JWT
$JWT
は、作成した JWT で置き換えますこれにより、Google によって署名された
id_token
を含む別の JWT が返されます。
GET/POST リクエストを受信側関数に送信します。Google によって署名された ID トークンをリクエストの Authorization: Bearer ID_TOKEN_JWT
ヘッダーに含めます。
次のステップ
機能へのアクセスを管理する方法を確認する。
ID トークンを生成するその他の方法についてサポートを受ける。