Funzione identità
Per motivi di sicurezza, la maggior parte delle interazioni tra entità in Google Cloud richiede che ciascuna entità abbia un'identità verificabile, protetta da un tipo di secret, come una password o una chiave. Proprio come le altre entità hanno bisogno di un'identità per accedere a Cloud Functions, le funzioni stesse hanno spesso bisogno di accedere ad altre risorse in Google Cloud per svolgere il proprio lavoro. Ogni funzione è associata a un account di servizio che funge da identità quando la funzione accede ad altre risorse. L'account di servizio utilizzato da una funzione come identità è anche noto come account di servizio di runtime.
Per l'uso in produzione, Google consiglia di assegnare a ogni funzione un'identità dedicata assegnandole un account di servizio gestito dall'utente. Gli account di servizio gestiti dall'utente consentono di controllare l'accesso concedendo un insieme minimo di autorizzazioni utilizzando Identity and Access Management.
Account di servizio di runtime
A meno che non specifichi un account di servizio di runtime diverso quando esegui il deployment di una funzione, Cloud Functions utilizza un account di servizio predefinito come identità per l'esecuzione della funzione:
- Cloud Functions (1ª generazione.) utilizza l'account di servizio predefinito di App Engine,
PROJECT_ID@appspot.gserviceaccount.com. Cloud Functions (2nd gen) utilizza l'account di servizio Compute predefinito,
PROJECT_NUMBER-compute@developer.gserviceaccount.com.Tieni presente che il numero del progetto è diverso dall'ID e dal nome del progetto. Puoi trovare il numero del tuo progetto nella pagina Dashboard della console Google Cloud.
A seconda della configurazione dei criteri dell'organizzazione, all'account di servizio predefinito potrebbe essere concesso automaticamente il ruolo Editor per il progetto. Ti consigliamo vivamente di disabilitare la concessione automatica del ruolo
applicando il vincolo iam.automaticIamGrantsForDefaultServiceAccounts del criterio dell'organizzazione. Se hai creato la tua organizzazione dopo il 3 maggio 2024, questo vincolo viene applicato per impostazione predefinita.
Se disabiliti la concessione automatica dei ruoli, devi decidere quali ruoli concedere agli account di servizio predefiniti e poi concedere questi ruoli autonomamente.
Se l'account di servizio predefinito ha già il ruolo Editor, ti consigliamo di sostituire quest'ultimo con ruoli meno permissivi. Per modificare in modo sicuro i ruoli dell'account di servizio, utilizza il Simulatore di criteri per vedere l'impatto della modifica, quindi concedi e revoca i ruoli appropriati.
Per proteggere le funzioni in produzione:
- Modificare le autorizzazioni per l'account di servizio di runtime predefinito oppure
- Creare account di servizio individuali per le funzioni
Modifica delle autorizzazioni nell'account di servizio di runtime predefinito
Console
Vai alla pagina IAM nella console Google Cloud:
Seleziona l'Account di servizio predefinito di App Engine o l'Account di servizio Compute predefinito dalla tabella.
Fai clic sull'icona a forma di matita sul lato destro della riga per visualizzare la scheda Modifica autorizzazioni.
Aggiungi o rimuovi i ruoli nel menu a discesa Ruolo per fornire l'accesso con privilegio minimo.
Fai clic su Salva.
gcloud
Rimuovi il ruolo Editor, poi utilizza il
comando gcloud projects add-iam-policy-binding per aggiungere un nuovo ruolo:
# Remove the Editor role gcloud projects remove-iam-policy-binding PROJECT_ID \ --member="SERVICE_ACCOUNT_EMAIL" \ --role="roles/editor" # Add the desired role gcloud projects add-iam-policy-binding PROJECT_ID \ --member="SERVICE_ACCOUNT_EMAIL" \ --role="ROLE"
Dove PROJECT_ID è l'ID del progetto che stai utilizzando, SERVICE_ACCOUNT_EMAIL è l'indirizzo email dell'account di servizio di runtime predefinito, come mostrato in precedenza in Account di servizio di runtime, e ROLE è il nuovo ruolo da assegnare all'account di servizio di runtime predefinito.
Utilizzo di account di servizio individuali per le funzioni
Per offrire una maggiore flessibilità nel controllare l'accesso alle tue funzioni, puoi assegnare a ciascuno il proprio account di servizio gestito dall'utente.
- Crea il tuo account di servizio. Prendi nota del suo nome.
- Concedile i ruoli appropriati in base alle risorse necessarie per accedere alla funzione per svolgere il proprio lavoro.
Se l'account di servizio e la funzione si trovano in progetti diversi, dal progetto in cui si trova l'account di servizio:
- Configura l'account di servizio per lavorare su più progetti.
Concedi il ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator) a entrambi questi account di servizio, dovePROJECT...si riferisce al progetto in cui risiede la funzione:- Account di servizio predefinito, che varia a seconda che utilizzi
l'account di servizio di 1ª generazione o 2ª generazione:
- 1ª generazione.: account di servizio predefinito App Engine
(
PROJECT_ID@appspot.gserviceaccount.com) - 2ª generazione.: account di servizio predefinito Compute Engine
(
PROJECT_NUMBER-compute@developer.gserviceaccount.com)
- 1ª generazione.: account di servizio predefinito App Engine
(
- Agente di servizio Cloud Functions
(
service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com)
Questi account gestiscono l'accesso tra progetti per il tuo account di servizio.
- Account di servizio predefinito, che varia a seconda che utilizzi
l'account di servizio di 1ª generazione o 2ª generazione:
Concedi l'autorizzazione
iam.serviceaccounts.actAsall'agente di servizio Cloud Functions nell'account di servizio del progetto diverso.
Concedi all'account di servizio l'accesso alla risorsa. Il metodo per eseguire questa operazione dipende dal tipo di risorsa.
Collega l'account di servizio alla funzione. Puoi farlo al momento del deployment o aggiornando una funzione di cui è stato eseguito il deployment in precedenza.
Aggiunta di un account di servizio gestito dall'utente al momento del deployment
Console
Vai alla console Google Cloud:
Specifica e configura la funzione come preferisci.
Fai clic su Runtime, build... per visualizzare altre impostazioni.
Seleziona la scheda Runtime.
Fai clic sul menu a discesa Account di servizio e seleziona l'account di servizio che ti interessa.
Fai clic su Avanti ed Esegui il deployment.
gcloud
Quando esegui il deployment di una funzione utilizzando gcloud functions deploy, aggiungi il
flag --service-account. Ad esempio:
gcloud functions deploy FUNCTION_NAME --service-account SERVICE_ACCOUNT_EMAIL
dove FUNCTION_NAME è il nome della funzione e
SERVICE_ACCOUNT_EMAIL è l'email dell'account di servizio.
Aggiornamento dell'account di servizio di una funzione esistente
Puoi aggiornare l'account di servizio di runtime di una funzione esistente.
Console
Vai alla console Google Cloud:
Fai clic sul nome della funzione desiderata per andare alla relativa pagina dei dettagli.
Fai clic sull'icona a forma di matita Modifica nella parte superiore della pagina dei dettagli per modificare la funzione.
Fai clic su Runtime, build... per visualizzare ulteriori impostazioni.
Seleziona la scheda Runtime.
Fai clic sul menu a discesa Account di servizio e seleziona l'account di servizio che ti interessa.
Fai clic su Avanti ed Esegui il deployment.
gcloud
Quando esegui il deployment di una funzione utilizzando gcloud functions deploy, aggiungi il
flag --service-account:
gcloud functions deploy FUNCTION_NAME --service-account SERVICE_ACCOUNT_EMAIL
dove FUNCTION_NAME è il nome della funzione e
SERVICE_ACCOUNT_EMAIL è l'account di servizio.
La funzione di cui è stato eseguito nuovamente il deployment ora utilizza il nuovo account di servizio di runtime.
Utilizzo del server metadati per acquisire i token
Sebbene gli account di servizio definiti da IAM siano il metodo preferito per la gestione dell'accesso in Google Cloud, alcuni servizi potrebbero richiedere altre modalità, ad esempio una chiave API, un client OAuth 2.0 o una chiave dell'account di servizio. L'accesso a una risorsa esterna potrebbe richiedere anche metodi alternativi.
Se il servizio di destinazione richiede la presentazione di un token ID OpenID Connect o di un token di accesso Oauth 2.0, potresti essere in grado di utilizzare il server metadati Compute per recuperare questi token anziché configurare un client OAuth completo.
Token di identità
Puoi utilizzare Compute Metadata Server per recuperare i token ID con un segmento di pubblico specifico, come descritto di seguito:
curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/identity?audience=AUDIENCE" \ -H "Metadata-Flavor: Google"
dove AUDIENCE è il target richiesto, ad
esempio: l'URL di un servizio che stai richiamando, come
https://service.domain.com, o l'ID client OAuth di una risorsa protetta da IAP, come 1234567890.apps.googleusercontent.com.
Token di accesso
I token di accesso OAuth 2.0 utilizzano gli ambiti per definire le autorizzazioni di accesso. Per impostazione predefinita, all'interno di Google Cloud i token di accesso hanno l'ambito cloud-platform. Per accedere ad altre API di Google o Google Cloud, devi recuperare un token di accesso con l'ambito appropriato.
Puoi utilizzare Compute Metadata Server per recuperare i token di accesso.
Se hai bisogno di un token di accesso con un ambito specifico, puoi generarne uno come segue:
curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token?scopes=SCOPES" \ -H "Metadata-Flavor: Google"
Dove SCOPES è un elenco separato da virgole di ambiti OAuth richiesti, ad esempio: https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/spreadsheets.
Consulta l'elenco completo degli ambiti OAuth di Google per trovare quelli di cui hai bisogno.
Passaggi successivi
Scopri come autorizzare l'accesso alle tue funzioni o ad autenticare gli sviluppatori e altre funzioni in modo che possano richiamare le tue funzioni.