Zugriffssteuerung

Sie können die Zugriffssteuerung mithilfe von Rollen auf der Projektebene festlegen. Weisen Sie einem Projektmitglied oder Dienstkonto eine Rolle zu, um die Zugriffsebene für Ihr Google Cloud-Projekt und dessen Ressourcen festzulegen. Standardmäßig haben alle Google Cloud-Projekte nur einen Nutzer: den ursprünglichen Projektersteller. Bis ein Nutzer als Projektmitglied hinzugefügt wird, hat kein anderer Nutzer Zugriff auf das Projekt oder auf Funktionen.

Zugriffskontrolle für Nutzer

Sie können Nutzer als Teammitglieder einem Projekt hinzufügen und ihnen mithilfe der Identitäts- und Zugriffsverwaltung (IAM) Rollen zuweisen.

Cloud Functions unterstützt die grundlegenden Rollen Bearbeiter, Inhaber und Betrachter, die folgende Berechtigungen enthalten:

  • Bearbeiter und Inhaber: Lese- und Schreibzugriff auf alle funktionsbezogenen Ressourcen. Nutzer können Funktionen bereitstellen, aktualisieren und löschen. Weitere Zugriffsrechte für andere Ressourcen im Projekt.
  • Betrachter: Schreibgeschützter Zugriff auf Funktionen und Speicherorte. Nutzer können Funktionen auflisten und Details dazu aufrufen, aber nicht den Quellcode ansehen. Weitere Zugriffsrechte für andere Ressourcen im Projekt.

Cloud Functions unterstützt außerdem die vordefinierten Rollen Entwickler und Betrachter in Cloud Functions mit diesen Berechtigungen:

  • Entwickler: Lese- und Schreibzugriff auf alle funktionsbezogenen Ressourcen. Nutzer können Funktionen bereitstellen, aktualisieren und löschen. Kein Zugriff auf andere Ressourcen im Projekt.
  • Betrachter: Schreibgeschützter Zugriff auf Funktionen und Speicherorte. Nutzer können Funktionen auflisten und Details dazu aufrufen, aber nicht den Quellcode ansehen. Kein Zugriff auf andere Ressourcen im Projekt.

Zugriffssteuerung für Dienstkonten

Ein Dienstkonto ist ein spezieller Google Cloud-Kontotyp, der als Identität für einen nicht menschlichen Nutzer fungiert, der sich für den Zugriff auf Daten und die Durchführung verschiedener Aktionen authentifizieren und dafür autorisiert werden muss. Einige dieser Konten werden von Google selbst erstellt und verwaltet und als Dienst-Agents bezeichnet.

Die folgenden Dienstkonten werden für alle Cloud Functions-Laufzeiten verwendet:

Name Mitglieds-ID Rolle
App Engine-Standarddienstkonto PROJECT_ID@appspot.gserviceaccount.com Editor
Google Cloud Functions-Dienst-Agent service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com Cloud Functions-Dienst-Agent

Darüber hinaus sind für alle Laufzeiten außer Node.js 8 und Go 1.11 folgende Dienstkonten erforderlich:

Name Mitglieds-ID Rolle
PROJECT_NUMBER@cloudbuild.gserviceaccount.com Cloud Build-Dienstkonto
Cloud Build-Dienstkonto service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com Cloud Build-Dienst-Agent
Google Container Registry-Dienst-Agent service-PROJECT_NUMBER@containerregistry.iam.gserviceaccount.com Container Registry-Dienst-Agent

Laufzeitdienstkonten

Während der Laufzeit verwendet Cloud Functions standardmäßig das App Engine-Standarddienstkonto PROJECT_ID@appspot.gserviceaccount.com, das die Rolle Bearbeiter im Projekt hat. Sie können die Rollen dieses Dienstkontos ändern, um die Berechtigungen für ausgeführte Funktionen einzuschränken oder zu erweitern. Außerdem können Sie ändern, welches Dienstkonto verwendet wird. Hierfür stellen Sie ein nicht standardmäßiges einzelnes Dienstkonto bereit.

Weitere Informationen zu Dienstkonten finden Sie in der zugehörigen Dokumentation.

Administrative Dienstkonten

Wenn beim Erstellen, Aktualisieren oder Löschen von Funktionen Verwaltungsaufgaben an einem Projekt ausgeführt werden sollen, benötigen alle Projekte in Cloud Functions das Dienstkonto "Google Cloud Functions-Dienst-Agent" (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com).

Darüber hinaus erstellen und speichern alle Laufzeiten außer Node.js 8 und Go 1.11 Container-Images in Ihrem Projekt. In diesem Fall müssen Sie auch Folgendes bereitstellen:

Diese Dienstkonten sollten die Rollen haben, die in der vorherigen Tabelle aufgeführt sind.

Dienstkonto Google Cloud Functions-Dienst-Agent

Standardmäßig hat das Dienstkonto Google Cloud Functions-Dienst-Agent (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com) im Projekt die Rolle cloudfunctions.serviceAgent. Das Erstellen, Aktualisieren und Löschen von Funktionen kann fehlschlagen, wenn Sie die Berechtigungen dieses Kontos ändern.

Die Rolle cloudfunctions.serviceAgent hat die folgenden Berechtigungen:

Permission Beschreibung
pubsub.subscriptions.* Verwalten von Abonnements im Projekt des Nutzers
pubsub.topics.create Erstellen eines neuen Themas, wenn eine Funktion bereitgestellt wurde
pubsub.topics.attachSubscription Anhängen eines Abonnements an ein vorhandenes Thema
pubsub.topics.get Abrufen des vorhandenen Themas, für das die Funktion ausgelöst werden soll
pubsub.subscriptions.get Abo abrufen, das die Funktion auslöst.
pubsub.topics.list Erforderlich zum Prüfen der Existenz eines Pub/Sub-Themas.
iam.serviceAccounts.{getAccessToken, signBlob} Möglichkeit zum Abrufen der Anmeldedaten des Laufzeitdienstkontos
iam.serviceAccounts.getOpenIdToken Erforderlich, damit der Agent ein OpenID-Token für eine benutzerdefinierte Behörde abrufen kann. OpenID-Token wird zum Aufrufen von IAM-aktivierten Funktionen verwendet.
resourcemanager.projects.get Projektdetails abrufen.
resourcemanager.projects.getIamPolicy Bestimmen des Funktionsursprungs
firebasedatabase.instances.{get, update} Erstellen von Funktionen, die von der Firebase Realtime Database ausgelöst werden
storage.buckets.{get, update} Benachrichtigungen in einem Cloud Storage-Bucket konfigurieren, die eine Funktion auslösen.
storage.buckets.create,
storage.objects.{delete, get, create, list}
Erforderlich zum Speichern von Quellcode in Nutzerprojekt.
clientauthconfig.clients.list OAuth-Clients des Projekts für IAM-geschützte HTTP-Funktionen auflisten.
cloudfunctions.functions.invoke Aufrufen einer IAM-geschützten HTTP-Funktion
compute.globalOperations.get,
compute.networks.access,
vpcaccess.connectors.{get, use}
Funktionen mit Zugriff auf die VPC des Nutzerprojekts bereitstellen.
cloudbuild.customworkers.builder Builds in benutzerdefinierten Cloud Build-Workern erstellen.
cloudbuild.builds.editor,
serviceusage.services.use
Erforderlich, um mit Cloud Build Builds im Nutzerprojekt auszuführen.

Sie können dieses Dienstkonto auf die Standardrolle zurücksetzen. Dazu entfernen Sie die Rolle, die es derzeit hat, und fügen die Cloud Functions-Dienst-Agent-Rolle hinzu:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member serviceAccount:service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com \
  --role roles/cloudfunctions.serviceAgent

Berechtigungsfehler beheben

Wenn Sie beim Bereitstellen, Aktualisieren, Löschen oder Ausführen von Funktionen in einem Projekt Berechtigungsfehler erhalten, führen Sie die folgenden Schritte aus:

  1. Prüfen Sie, ob Sie die Rolle Bearbeiter oder Inhaber für Ihr Projekt haben oder ob Sie die Rolle Cloud Functions-Entwickler verwenden.

    Wenn Sie die Rolle Cloud Functions-Entwickler verwenden, prüfen Sie außerdem, ob Sie dem Nutzer die Rolle IAM-Dienstkontonutzer zugewiesen haben.

  2. Prüfen Sie, ob das Dienstkonto des Cloud Functions-Dienst-Agents (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com) die Rolle cloudfunctions.serviceAgent für Ihr Projekt hat.

    Achten Sie darauf, dass das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen auf dem Tab Berechtigungen der Seite Console IAM aktiviert ist, um dieses Konto sehen zu können. Alternativ können Sie gcloud projects add-iam-policy-binding PROJECT_ID verwenden.

  3. Prüfen Sie, ob Sie Berechtigungen für Triggerquellen haben, z. B. Pub/Sub oder Cloud Storage.

Wenn Sie einen Fehler mit der Meldung „unzureichende Berechtigungen“ erhalten oder beim Ausführen von Funktionen Authentifizierungsprobleme auftreten, sollten Sie die Berechtigungen des Laufzeitdienstkontos prüfen. Dieses muss die richtigen Berechtigungen haben, um auf die Ressourcen zuzugreifen, die die Funktionen benötigen. Anschließend sollten Sie Schritt 2 und 3 ausführen.

Wenn während der Bereitstellung der Fehler „Dienst nicht verfügbar“ auftritt, prüfen Sie, ob das Laufzeitdienstkonto PROJECT_ID@appspot.gserviceaccount.com im Projekt vorhanden ist. Wie Sie dieses Dienstkonto wiederherstellen können, wenn es gelöscht wurde, erfahren Sie unter Dienstkonto wiederherstellen.

Weitere Informationen finden Sie unter Fehlerbehebung bei Cloud Functions.