Control de acceso con IAM

Puedes configurar el control de acceso con funciones a nivel de proyecto. Asigna una función a un miembro de proyecto o cuenta de servicio para determinar el nivel del acceso a tu proyecto de Google Cloud y sus recursos. De forma predeterminada, todos los proyectos de Cloud incluyen un solo usuario, es decir, el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto y, por lo tanto, tampoco a las funciones, hasta que se agrega un usuario como un miembro del equipo de proyecto.

Control de acceso para usuarios

Puedes agregar usuarios como miembros de equipo a tu proyecto y garantizarles funciones mediante la administración de identidades y accesos (IAM).

Cloud Functions admite las funciones básicas de editor, propietario y visualizador, que otorgan los siguientes permisos:

  • Editor y Propietario: acceso de lectura y escritura a todos los recursos relacionados con las funciones. Permite a los usuarios implementar, actualizar y borrar funciones. Acceso adicional a otros recursos del proyecto.
  • Lector: acceso de solo lectura a las funciones y ubicaciones. Permite a los usuarios crear una lista de funciones y ver sus detalles, pero no les permite ver el código fuente. Acceso adicional a otros recursos del proyecto.

Cloud Functions también admite las funciones predefinidas de Desarrollador y Visualizador de Cloud Functions, que otorgan los siguientes permisos:

  • Programador: acceso de lectura y escritura a todos los recursos relacionados con las funciones. Permite a los usuarios implementar, actualizar y borrar funciones. Sin acceso a otros recursos del proyecto.
  • Lector: acceso de solo lectura a las funciones y ubicaciones. Permite a los usuarios crear una lista de funciones y ver sus detalles, pero no les permite ver el código fuente. Sin acceso a otros recursos del proyecto.

Control de acceso para cuentas de servicio

Una cuenta de servicio es un tipo especial de cuenta de Google Cloud que actúa como una identidad para un usuario no humano que necesita autenticarse y tener autorización a fin de acceder a los datos y realizar diversas acciones. Algunas de estas cuentas son creadas y administradas por Google, y se conocen como agentes de servicio.

Las siguientes cuentas de servicio se usan para todos los entornos de ejecución de Cloud Functions:

Nombre ID de miembro Función
Cuenta de servicio predeterminada de App Engine PROJECT_ID@appspot.gserviceaccount.com Editor
Agente de servicio de Google Cloud Functions service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com Agente de servicio de Cloud Functions

Además, para todos los entornos de ejecución, excepto Node.js 8 y Go 1.11, se requieren las siguientes cuentas de servicio:

Nombre ID de miembro Función
PROJECT_NUMBER@cloudbuild.gserviceaccount.com Cuenta de servicio de Cloud Build
Cuenta de servicio de Cloud Build service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com Agente de servicio de Cloud Build
Agente de servicio de Google Container Registry service-PROJECT_NUMBER@containerregistry.iam.gserviceaccount.com Agente de servicio de Container Registry

Cuentas de servicio del entorno de ejecución

En el entorno de ejecución, Cloud Functions tiene como configuración predeterminada el uso de la cuenta de servicio predeterminada de App Engine (PROJECT_ID@appspot.gserviceaccount.com), que tiene la función de editor en el proyecto. Puedes cambiar las funciones de esta cuenta de servicio a fin de limitar o extender los permisos para tus funciones en ejecución. También puedes cambiar la cuenta de servicio que se usa si proporcionas una cuenta de servicio individual no predeterminada.

Para obtener más información sobre las cuentas de servicio, consulta la documentación de las cuentas de servicio.

Cuentas de servicio administrativas

Para realizar acciones administrativas en tu proyecto durante la creación, actualización o eliminación de funciones, todos los proyectos en Cloud Functions requieren la cuenta de servicio del agente de servicios de Google Cloud Functions (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com).

Además, todos los entornos de ejecución, excepto Node.js 8 y Go 1.11, realizan la compilación y el almacenamiento de imágenes de contenedor en tu proyecto. En este caso, también debes aprovisionar lo siguiente:

Estas cuentas de servicio deben tener las funciones enumeradas en la tabla anterior.

Cuenta de servicio del agente de servicios de Google Cloud Functions

Según la configuración predeterminada, la cuenta de servicio del agente del servicio de Google Cloud Functions (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com tiene la función cloudfunctions.serviceAgent en el proyecto). La creación, actualización y eliminación de funciones puede fallar si cambias los permisos de esta cuenta.

La función cloudfunctions.serviceAgent tiene los siguientes permisos:

Permisos Descripción
pubsub.subscriptions.* Administrar las suscripciones en el proyecto del usuario
pubsub.topics.create Crear un tema nuevo una vez que se implemente la función
pubsub.topics.attachSubscription Adjuntar la suscripción a un tema existente
pubsub.topics.get Obtener el tema existente en el cual se debería activar la función.
pubsub.subscriptions.get Obtener la suscripción que activa la función.
pubsub.topics.list Es obligatorio para verificar la existencia de un tema de Pub/Sub.
iam.serviceAccounts.{getAccessToken, signBlob} Capacidad para obtener credenciales de la cuenta de servicio del entorno de ejecución
iam.serviceAccounts.getOpenIdToken Se requiere para que el agente obtenga un token de OpenID en una autoridad especificada por el usuario. El token de OpenID se usa para invocar funciones habilitadas para IAM.
resourcemanager.projects.get Obtener los detalles del proyecto.
resourcemanager.projects.getIamPolicy Determinar el origen de la función.
firebasedatabase.instances.{get, update} Crear funciones activadas por Firebase Realtime Database
storage.buckets.{get, update} Configura notificaciones en un bucket de Cloud Storage que activen una función.
storage.buckets.create,
storage.objects.{delete, get, create, list}
Es obligatorio para almacenar el código fuente en el proyecto del usuario.
clientauthconfig.clients.list Enumerar los clientes de OAuth del proyecto para la función de HTTP protegida por IAM.
cloudfunctions.functions.invoke Invoca una función de HTTP protegida por IAM.
compute.globalOperations.get,
compute.networks.access,
vpcaccess.connectors.{get, use}
Aprovisionar funciones con acceso a la VPC de proyectos del consumidor.
cloudbuild.customworkers.builder Crear compilaciones en los trabajadores personalizados de Cloud Build.
cloudbuild.builds.editor,
serviceusage.services.use
Es obligatorio para usar Cloud Build a fin de realizar compilaciones en el proyecto del usuario.

Puedes restablecer esta cuenta de servicio a la función predeterminada con solo quitar cualquier función que tenga actualmente y agregar la función de agente de servicio de Cloud Functions:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member serviceAccount:service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com \
  --role roles/cloudfunctions.serviceAgent

Soluciona errores de permisos

Si recibes errores de permisos cuando implementas, actualizas, borras o ejecutas funciones en el proyecto, sigue estos pasos:

  1. Asegúrate de tener la función de editor o de propietario del proyecto o de que estés usando la función de desarrollador de Cloud Functions.

    Si usas la función de desarrollador de Cloud Functions, asegúrate de haber otorgado al usuario la función de usuario de la cuenta de servicio de IAM.

  2. Verifica que la cuenta de servicio del agente de servicios de Cloud Functions (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com) tenga la función cloudfunctions.serviceAgent en el proyecto.

    Asegúrate de que la casilla Incluye asignaciones de funciones proporcionadas por Google en la pestaña Permisos de la página IAM de Console esté marcada para ver esta cuenta. También puedes usar gcloud projects add-iam-policy-binding PROJECT_ID.

  3. Asegúrate de tener permisos para las fuentes de los activadores, como Pub/Sub o Cloud Storage.

Si recibes un error de “permisos insuficientes” o tienes otros problemas de autenticación cuando ejecutas las funciones, asegúrate de que la cuenta de servicio del entorno de ejecución cuente con los permisos correspondientes para acceder a los recursos que necesitan las funciones y, luego, repite los pasos 2 y 3.

Si recibes un error que indica “servicio no disponible” durante la implementación, asegúrate de que la cuenta de servicio del entorno de ejecución PROJECT_ID@appspot.gserviceaccount.com exista en tu proyecto. Para volver a crear esta cuenta de servicio si se borró, consulta Recupera una cuenta de servicio.

Consulta también Solución de problemas de Cloud Functions.