Cloud Functions-Funktionen schützen

Diese Seite bietet eine allgemeine Übersicht darüber, wie Sie Interaktionen mit Ihren Cloud Functions-Ressourcen steuern können.

Zugriffssteuerung

Es gibt zwei Möglichkeiten, den Zugriff für Cloud Functions zu steuern:

Zugriff mit Identität schützen

Eine Möglichkeit, den Zugriff auf Cloud Functions zu steuern, ist:

  • Die Anmeldedaten, die die Entität darstellt, prüfen, um sicherzustellen, dass sie diejenige ist, die sie vorgibt zu sein (Authentication).
  • Dieser Entität den Zugriff auf Ihre Ressourcen erlauben, je nachdem, welche Berechtigungen der Identität erteilt wurden (Authorization).

Cloud Functions unterstützt zwei Arten der Authentifizierung und Autorisierung: Identitäts- und Zugriffsverwaltung (IAM) und OAuth 2.0.

Identitäts- und Zugriffsverwaltung verwenden

IAM ist die am häufigsten verwendete Art der Zugriffssteuerung in Cloud Functions. Sie funktioniert mit zwei Arten von Identitäten:

  • Dienstkonten: Dies sind spezielle Konten, die als Identität einer Nicht-Identität verwendet werden, beispielsweise eine Funktion, eine Anwendung oder eine VM. Sie bieten ihnen die Möglichkeit, diese Personen zu authentifizieren und ihnen die Berechtigung zu erteilen, z. B. eine API aufzurufen.
  • Nutzerkonten: Diese Konten stellen Personen dar, entweder als einzelne Google-Kontoinhaber oder als Teil einer von Google kontrollierten Entität wie einer Google-Gruppe.

Während der Einrichtung ordnen Sie die anfragende Identität der Ressource zu, der Sie Zugriff gewähren möchten. Sie stellen die anfragende Identität als Mitglied der Ressource bereit und weisen ihr die entsprechende Rolle zu. Die Rolle definiert, welche Berechtigungen die Identität im Kontext der Ressource hat. Weitere Informationen zur Einrichtung dieses Prozesses finden Sie unter Zugriff über IAM autorisieren.

Verwenden von OAuth 2.0

OAuth 2.0 ist ein offener Standard zur Autorisierung. Sie kann in Situationen verwendet werden, in denen IAM nicht möglich oder, in einigen Fällen, angemessen ist. Unter Best Practices für die Verwendung und Verwaltung von Dienstkonten finden Sie weitere Informationen zur Auswahl zwischen den beiden Methoden.

Mit der Google Cloud Console erstellen Sie eine OAuth 2.0-Client-ID (in einigen Fällen ein Clientschlüssel) für Ihre Clientanwendung, die als Anmeldedaten dient.

Die Clientanwendung sendet diese Anmeldedaten an den Google-Autorisierungsserver, der ein access token bereitstellt. Mit diesem Token kann auf die Ressource zugegriffen werden. Berechtigungen basieren auf einem Wert, der als scope bezeichnet wird und nicht als Rolle, wie in IAM.

Netzwerkbasierte Zugriffssteuerung

Sie können den Zugriff auch einschränken, indem Sie für einzelne Funktionen Netzwerkeinstellungen angeben. Dies ermöglicht eine genauere Steuerung des eingehenden und ausgehenden Traffics des Netzwerks zu Ihren Funktionen.

Isolation und Sandboxing

Funktionsinstanzen werden intern mithilfe der gVisor-Sandbox-Plattform voneinander isoliert. Eine Funktion kann standardmäßig nicht auf die Betriebsumgebungen anderer Funktionen zugreifen.