Autenticazione per le chiamate
Per richiamare una Cloud Function autenticata, l'entità sottostante deve avere l'autorizzazione IAM richiamo:
cloudfunctions.functions.invoke
per le funzioni di 1ª generazione. In genere questo avviene tramite il ruolo Invoker di Cloud Functions.run.routes.invoke
per le funzioni di 2ª generazione. In genere, questo viene eseguito tramite il ruolo Invoker di Cloud Run. Questa autorizzazione deve essere assegnata nella risorsa del servizio Cloud Run.
Per ottenere l'autorizzazione per creare, aggiornare o eseguire altre azioni amministrative su una funzione, devi avere un'entità con un ruolo appropriato. Per ulteriori informazioni, consulta Utilizzo di IAM per autorizzare l'accesso.
Tuttavia, richiamare una funzione può essere un evento più complesso. Le funzioni basate su eventi possono essere richiamate dall'origine evento a cui sono sottoscritte, ma le funzioni HTTP possono essere richiamate da diversi tipi di identità, che hanno origine in posizioni diverse. Il callback può essere uno sviluppatore che sta testando la funzione o un'altra funzione o un altro servizio che vuole utilizzare la funzione. Per impostazione predefinita, queste identità devono fornire un token ID con la richiesta per autenticarsi. Inoltre, è necessario che all'account utilizzato siano state concesse le autorizzazioni appropriate.
L'accesso non autenticato senza un token ID è possibile, ma deve essere abilitato. Per ulteriori informazioni, consulta Utilizzo di IAM per autorizzare l'accesso.
Autenticazione dei test degli sviluppatori
In qualità di sviluppatore, devi disporre dell'accesso per creare, aggiornare ed eliminare le funzioni, e questo viene concesso tramite la procedura normale (IAM).
Tuttavia, in qualità di sviluppatore, potresti dover chiamare le tue funzioni a scopo di test. Per richiamare una funzione utilizzando curl
o strumenti simili, tieni presente quanto segue:
Assegna un ruolo all'account utente Cloud Functions che contiene l'autorizzazione di chiamata.
cloudfunctions.functions.invoke
per le funzioni di 1ª generazione. In genere viene assegnato il ruolo Invoker di Cloud Functions. Per impostazione predefinita, i ruoli Amministratore Cloud Functions e Sviluppatore Cloud Functions dispongono di questa autorizzazione. Consulta Ruoli IAM di Cloud Functions per l'elenco completo dei ruoli e delle autorizzazioni associate.run.routes.invoke
per le funzioni di 2ª generazione. In genere, questo viene eseguito tramite il ruolo Invoker di Cloud Run. Questa autorizzazione deve essere assegnata nella risorsa del servizio Cloud Run.
Se stai lavorando dalla tua macchina locale, configura l'accesso da riga di comando inizializzando Google Cloud CLI.
Fornisci alla richiesta le credenziali di autenticazione come token ID generato da Google e archiviato in un'intestazione
Authorization
. Ad esempio, ottieni un token ID utilizzandogcloud
eseguendo questo comando:curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" \ https://FUNCTION_URL
dove FUNCTION_URL è l'URL della funzione. Recupera questo URL dalla pagina Cloud Functions della console Google Cloud o eseguendo il comando
gcloud functions describe
come mostrato nel primo passaggio dell'esempio di comando di deployment di Google Cloud CLI.
Puoi utilizzare i token creati da gcloud
per richiamare le funzioni HTTP in qualsiasi progetto, a condizione che il tuo account disponga dell'autorizzazione cloudfunctions.functions.invoke
per la funzione che viene richiamata. A scopo di sviluppo, usa i
token ID generati da gcloud
. Tuttavia, tieni presente che questi token non presentano
rivendicazioni sul pubblico, il che li rende vulnerabili agli attacchi. Negli ambienti di produzione, utilizza i token ID emessi per un account di servizio con il segmento di pubblico appropriato specificato. Questo approccio migliora la sicurezza limitando l'utilizzo dei token solo al servizio previsto.
Come sempre, ti consigliamo di allocare l'insieme minimo di autorizzazioni necessarie per sviluppare e utilizzare le tue funzioni. Assicurati che i criteri IAM sulle tue funzioni siano limitati al numero minimo di utenti e account di servizio.
Funzione di autenticazione per le chiamate di funzione
Quando crei servizi che collegano più funzioni, ti consigliamo di
assicurarti che ogni funzione possa inviare richieste solo a un sottoinsieme specifico delle
altre funzioni. Ad esempio, se disponi di una funzione login
, questa dovrebbe essere in grado di accedere alla funzione user profiles
, ma probabilmente non dovrebbe essere in grado di accedere alla funzione search
.
Per configurare la funzione ricevente in modo che accetti le richieste da una funzione di chiamata specifica, devi concedere il ruolo di richiamata appropriato all'account di servizio della funzione di chiamata nella funzione ricevente. Per le funzioni di 1ª generazione, il ruolo Invoker è Invoker di Cloud Functions (roles/cloudfunctions.invoker
). Per le funzioni di 2ª generazione, il ruolo di richiamo è Invoker di Cloud Run (roles/run.invoker
) e deve essere concesso sul servizio sottostante.
Cloud Functions (1ª generazione.):
Console
Per le funzioni di 1ª generazione, utilizzi l'Invoker di Cloud Functions:
Vai alla console Google Cloud:
Fai clic sulla casella di controllo accanto alla funzione ricevente. Non fare clic sulla funzione stessa.
Fai clic su Autorizzazioni nella parte superiore della schermata. Si apre il riquadro Autorizzazioni.
Fai clic su Aggiungi entità.
Nel campo Nuove entità, inserisci l'identità della funzione chiamante. Deve essere l'indirizzo email di un account di servizio.
Seleziona il ruolo Cloud Functions > Invoker di Cloud Functions dal menu a discesa Seleziona un ruolo.
Fai clic su Salva.
gcloud
Usa il comando gcloud functions add-invoker-policy-binding
:
gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \ --member='serviceAccount:CALLING_FUNCTION_IDENTITY' \
Il comando add-invoker-policy-binding
aggiunge un'associazione di criteri IAM del ruolo chiamante che consente al membro (entità) specificato di richiamare la funzione specificata. gcloud rileverà automaticamente la generazione della funzione e aggiungerà il ruolo Invoker corretto (cloudfunctions.invoker
per 1ª generazione e run.invoker
per 2ª generazione).
Sostituisci quanto segue:
RECEIVING_FUNCTION
: il nome della funzione ricevente.CALLING_FUNCTION_IDENTITY
: l'identità della funzione chiamante, un'email dell'account di servizio.
Cloud Functions (2nd gen):
Console
Per le funzioni di 2ª generazione, utilizzi l'Invoker di Cloud Run:
Vai alla console Google Cloud:
Nell'elenco dei servizi Cloud Run, fai clic sulla casella di controllo accanto alla funzione di ricezione. Non fare clic sulla funzione stessa.
Si apre il riquadro Autorizzazioni.
Fai clic su Aggiungi entità.
Inserisci l'identità del servizio chiamante. In genere si tratta di un indirizzo email, per impostazione predefinita
PROJECT_NUMBER-compute@developer.gserviceaccount.com
.Tieni presente che il numero del progetto è diverso dall'ID e dal nome del progetto. Puoi trovare il numero del progetto nella pagina della dashboard della console Google Cloud.
Seleziona il ruolo
Cloud Run Invoker
dal menu a discesa Seleziona un ruolo.Fai clic su Salva.
gcloud
Usa il comando gcloud functions add-invoker-policy-binding
:
gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \ --member='serviceAccount:CALLING_FUNCTION_IDENTITY'
Sostituisci quanto segue:
RECEIVING_FUNCTION
: il nome della funzione ricevente.CALLING_FUNCTION_IDENTITY
: l'identità della funzione chiamante, un'email dell'account di servizio.
Poiché vocherà la funzione di ricezione, la funzione chiamante deve fornire anche un token ID firmato da Google per l'autenticazione. Si tratta di una procedura in due passaggi:
Crea un token ID firmato da Google con il campo del pubblico (
aud
) impostato sull'URL della funzione ricevente.Includi il token ID in un'intestazione
Authorization: Bearer ID_TOKEN
nella richiesta alla funzione.
Il modo di gran lunga più semplice e affidabile per gestire questo processo è utilizzare le librerie di autenticazione, come mostrato di seguito, per generare e utilizzare questo token.
Generazione di token in modo programmatico
Dopo che il codice seguente ha generato un token ID, chiama la tua funzione Cloud Function con quel token per tuo conto. Questo codice funziona in qualsiasi ambiente in cui le librerie possono ottenere le credenziali di autenticazione, inclusi gli ambienti che supportano le credenziali predefinite dell'applicazione locali.
Node.js
Python
Go
Java
Generazione manuale di token
Se stai richiamando una funzione e per qualche motivo non puoi utilizzare le librerie di autenticazione, esistono due modi per ottenere il token ID manualmente: utilizzando il server di metadati Compute o creando un JWT autofirmato e scambiandolo con un token ID firmato da Google.
Utilizzo del server dei metadati
Puoi utilizzare il server metadati Compute per recuperare i token ID con un segmento di pubblico specifico, come indicato di seguito:
curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/identity?audience=AUDIENCE" \
-H "Metadata-Flavor: Google"
Sostituisci AUDIENCE con l'URL della funzione che stai richiamando. Puoi recuperare questo URL come descritto nella sezione Autenticazione dei test degli sviluppatori sopra riportata.
Scambio di un JWT autofirmato con un token ID firmato da Google
Concedi il ruolo Invoker di Cloud Functions (
roles/cloudfunctions.invoker
) all'account di servizio della funzione chiamante nella funzione ricevente.Crea un account di servizio e una chiave e scarica il file con la chiave privata (in formato JSON) nell'host da cui la funzione o il servizio chiamante effettua le sue richieste.
Crea un JWT con l'intestazione impostata su
{"alg":"RS256","typ":"JWT"}
. Il payload deve includere un'attestazionetarget_audience
impostata sull'URL della funzione ricevente, mentre le attestazioniiss
esub
devono essere impostate sull'indirizzo email dell'account di servizio utilizzato in precedenza. Deve includere anche le rivendicazioniexp
eiat
. L'attestazioneaud
deve essere impostata suhttps://www.googleapis.com/oauth2/v4/token
.Usa la chiave privata scaricata in precedenza per firmare il JWT.
Utilizzando questo JWT, invia una richiesta POST a https://www.googleapis.com/oauth2/v4/token. I dati di autenticazione devono essere inclusi nell'intestazione e nel corpo della richiesta.
Nell'intestazione:
Authorization: Bearer $JWT - where $JWT is the JWT you just created Content-Type: application/x-www-form-urlencoded
Nel corpo:
grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&assertion=$JWT
Sostituisci
$JWT
con il JWT che hai appena creatoQuesto restituisce un altro JWT che include un
id_token
firmato da Google.
Invia la richiesta GET/POST alla funzione di ricezione. Includi il token ID firmato da Google in un'intestazione Authorization: Bearer ID_TOKEN_JWT
nella richiesta.
Passaggi successivi
Scopri come gestire l'accesso alle funzioni.
Consulta altri modi per generare token ID.