Mengizinkan akses dengan IAM (generasi ke-1)
Anda menggunakan Identity and Access Management (IAM) untuk memberikan otorisasi identitas untuk melakukan tindakan administratif pada fungsi Anda, seperti membuat, memperbarui, dan menghapusnya. Anda menambahkanakun utama (identitas yang ingin Anda aktifkan, biasanya email akun layanan atau pengguna) ke fungsi, lalu memberikan IAM yang sesuai kepada akun utama tersebut peran. Peran ini mencakup izin yang menentukan tindakan yang diizinkan untuk dilakukan.
Mengaktifkan akses ke fungsi
Anda dapat mengontrol tindakan pada fungsi dengan memberikan atau membatasi peran ke identitas individual melalui IAM.
Menambahkan kun utama adan memberikan peran
Konsol
Buka Konsol Google Cloud:
Klik kotak centang di samping fungsi yang Anda minati.
Klik Izin di bagian atas layar. Panel Izin akan terbuka.
Klik Tambahkan akun utama.
Di kolom Akun utama baru, masukkan satu atau beberapa identitas yang memerlukan akses ke bucket Anda. Ini biasanya berupa email akun layanan atau pengguna.
Pilih satu (atau beberapa) peran dari menu drop-down Pilih peran. Peran yang Anda pilih akan muncul di panel dengan deskripsi singkat tentang izin yang diberikan.
IAM fungsi Cloud RunKlik Simpan.
gcloud
Gunakan perintah gcloud functions add-iam-policy-binding
:
gcloud functions add-iam-policy-binding FUNCTION_NAME \ --member=PRINCIPAL_ID \ --role=ROLE
dengan FUNCTION_NAME
sebagai nama fungsi, PRINCIPAL_ID
sebagai ID akun utama, biasanya berupa email, dan ROLE
sebagai peran.
Untuk mengetahui daftar sumber yang dapat menyediakan PRINCIPAL_ID
, lihat halaman konsep IAM.
Untuk mengetahui daftar nilai yang dapat diterima untuk ROLE
, lihat
halaman referensi Peran IAM fungsi Cloud Run.
Menghapus peran dari akun utama
Konsol
Buka Konsol Google Cloud:
Klik kotak centang di samping fungsi yang Anda minati.
Klik Izin di bagian atas layar. Panel Izin akan terbuka.
Telusuri akun utama yang ingin Anda hapus. Lihat di setiap peran yang telah diberikan kepada akun utama.
Jika Anda menemukan akun utama dalam peran yang ingin dihapus, klik ikon tempat sampah di sampingnya. Jika Anda ingin menghapus akses akun utama sepenuhnya, lakukan ini untuk setiap peran yang telah diberikan kepada akun utama.
gcloud
Gunakan perintah gcloud functions remove-iam-policy-binding
:
gcloud functions remove-iam-policy-binding FUNCTION_NAME \ --member=PRINCIPAL_ID \ --role=ROLE
dengan FUNCTION_NAME
sebagai nama fungsi, PRINCIPAL_ID
adalah alamat email yang mengidentifikasi akun layanan, diawali dengan serviceAccount:
, dan ROLE
sebagai peran.
Untuk mengetahui daftar sumber yang dapat diterima untuk PRINCIPAL_ID
, lihat
halaman konsep IAM.
Untuk mengetahui daftar kemungkinan nilai untuk ROLE
, lihat halaman referensi Peran IAM fungsi Cloud Run.
Jika akun utama telah diberi beberapa peran, pastikan Anda menentukan peran utama yang ingin dihapus.
Penambahan massal akun utama
Konsol
Buka Konsol Google Cloud:
Klik kotak centang di samping fungsi yang ingin Anda beri atau batasi aksesnya.
Klik Izin di bagian atas layar. Panel Izin akan terbuka.
Untuk menambahkan akun utama:
Klik Tambahkan akun utama.
Di kolom Akun utama baru, masukkan beberapa identitas yang memerlukan akses ke fungsi Anda.
Pilih satu (atau beberapa) peran dari menu drop-down Pilih peran. Peran yang Anda pilih akan muncul di panel dengan deskripsi singkat tentang izin yang diberikan.
Klik Simpan.
gcloud
Buat kebijakan IAM bernama, misalnya, policy.json
:
{ "bindings": [ { "role": ROLE, "members": [ PRINCIPAL_ID ] } ] }
Gunakan perintah gcloud functions set-iam-policy
:
gcloud functions set-iam-policy FUNCTION_NAME policy.json
Untuk mengetahui daftar sumber yang dapat diterima untuk PRINCIPAL_ID
, lihat
halaman konsep IAM.
Untuk mengetahui daftar nilai yang dapat diterima untuk ROLE
, lihat
halaman referensi Peran IAM fungsi Cloud Run.
Melihat akun utama
Konsol
Buka Konsol Google Cloud:
Klik nama fungsi yang diminati.
Pilih tab Izin. Panel Izin akan terbuka.
Pilih tab Lihat menurut akun utama untuk melihat daftar semua akun utama dengan izin pada fungsi yang dipilih.
gcloud
Gunakan perintah gcloud functions get-iam-policy
:
gcloud functions get-iam-policy FUNCTION_NAME
Mengizinkan pemanggilan fungsi HTTP yang tidak diautentikasi
Mulai tanggal 15 Januari 2020, fungsi HTTP yang tidak mengaktifkan Izinkan pemanggilan yang tidak diautentikasi akan membatasi akses bagi pengguna akhir dan akun layanan yang tidak memiliki izin yang sesuai.
Untuk mengizinkan pemanggilan yang tidak terautentikasi, Anda harus menentukan hal ini pada atau setelah penerapan.
Anda menggunakan varian khusus dari pendekatan yang dijelaskan sebelumnya untuk memberikan kemampuan kepada pemanggil yang tidak terautentikasi untuk memanggil fungsi HTTP.
Saat deployment
Konsol
Pilih Izinkan pemanggilan yang tidak diautentikasi di bagian Autentikasi pada panel Pemicu.
gcloud
Perintah gcloud functions deploy
menyertakan perintah untuk membantu Anda mengonfigurasi izin pemanggilan selama pembuatan fungsi. Kode ini juga dapat menyertakan flag --allow-unauthenticated
:
gcloud functions deploy FUNCTION_NAME \ --no-gen2 \ --trigger-http \ --allow-unauthenticated \ ...
Deployment fungsi yang sama di kali berikutnya tidak akan mengubah statusnya, meskipun Anda tidak menggunakan flag ini.
Setelah deployment
Untuk mengizinkan pemanggilan fungsi yang tidak terautentikasi, berikan peran Invoker Cloud Functions ke akun utama allUsers
khusus pada fungsi:
Konsol
Buka Konsol Google Cloud:
Klik kotak centang di samping fungsi penerima. (Jangan mengeklik fungsi.)
Klik Izin di bagian atas layar. Panel Izin akan terbuka.
Klik Tambahkan akun utama.
Di kolom Akun utama baru, ketik
allUsers
.Pilih peran Cloud Functions > Cloud Functions Invoker dari menu drop-down Pilih peran.
Sebagai respons terhadap dialog, klik Izinkan akses publik.
gcloud
Gunakan perintah gcloud functions add-iam-policy-binding
untuk memberikan peran roles/cloudfunctions.invoker
kepada akun utama allUsers
khusus pada fungsi tersebut:
gcloud functions add-iam-policy-binding FUNCTION_NAME \ --member="allUsers" \ --role="roles/cloudfunctions.invoker"
Lihat
referensi gcloud functions add-iam-policy-binding
untuk mengetahui informasi selengkapnya tentang kolom ini.
Berbagi dengan Domain Terbatas
Jika Anda mengembangkan fungsi dalam project yang tunduk pada kebijakan organisasi Berbagi Dengan Domain Terbatas, Anda tidak akan dapat mengizinkan pemanggilan fungsi yang tidak diautentikasi. Kebijakan ini membatasi berbagi data publik untuk mengurangi risiko pemindahan data yang tidak sah.
Jika Anda ingin men-deploy fungsi yang mengizinkan pemanggilan yang tidak diautentikasi, sebaiknya hapus kebijakan organisasi Berbagi Dengan Domain Terbatas di project. Kebijakan organisasi dapat ditetapkan di tingkat organisasi, folder, atau project.
Setelah Anda membuat fungsi yang memungkinkan pemanggilan yang tidak terautentikasi, kebijakan organisasi dapat diaktifkan kembali:
- Fungsi yang di-deploy sebelum kebijakan organisasi diaktifkan kembali akan terus mengizinkan pemanggilan yang tidak diautentikasi.
- Versi baru dari fungsi yang sudah ada ini dapat di-deploy tanpa memerlukan pemanggilan terautentikasi.
- Fungsi baru yang mengizinkan pemanggilan yang tidak diautentikasi tidak dapat di-deploy.
Mengontrol akses pada semua fungsi dalam sebuah project
Jika ingin memberikan peran pada semua fungsi dalam sebuah project, Anda dapat memberikan peran ini pada project.