検索を簡素化し、ドキュメントのエクスペリエンスを向上させるために、第 1 世代と第 2 世代のドキュメントを別々のセットに分割します。

Cloud Functions の関数を保護する

このページでは、Cloud Functions のリソースを使用して操作を制御する方法の概要を説明します。

アクセス制御

Cloud Functions に対するアクセスの制御には、次の 2 種類の方法があります。

ID ベース
ネットワークベース

ID によるアクセスの保護

関数へのアクセスを制御する方法の一つは、リクエスト元のエンティティが認証情報を使用して自身を識別するように要求することです。認証情報は一種の「名前」で、エンティティが知っているかアクセスできるシークレット（パスワードやハードウェアドングルなど）によって保護されます。デフォルトでは、関数は非公開としてデプロイされ、こうした認証情報が必要になります。関数は一般公開としてデプロイすることもできます。

このプロセスの最初のステップは認証情報の検証です。リクエストの送信者が誰かと、名前とシークレットの組み合わせが正しいことを確認します。このステップは Authentication と呼ばれます。

リクエスト送信者の ID が認証されると、そのアクセスレベル、ID に付与された権限を評価できます。このステップは Authorization と呼ばれます。

認証

Cloud Functions は、次の 2 種類の ID をサポートしています。これらはプリンシパルとも呼ばれます。

サービスアカウント: 関数、アプリケーション、VM など、人以外の ID として機能する特別なアカウントです。これにより、人以外の認証を行うことができます。
ユーザーアカウント: 個々の Google アカウント所有者、または Google グループのような Google が管理するエンティティの一員といった、人を表しています。

サービスアカウントとユーザーアカウントで、認証情報の名前部分は通常、アカウントに関連付けられているメールアドレスになります。通常、ユーザーアカウントのシークレットはパスワードです。サービスアカウントの場合は、アカウントと一緒に作成される鍵ペアの秘密鍵になります。

ユーザーパスワードとサービスアカウントキーは非常に強力で、これにより、さまざまなデータや機能にアクセスすることが可能になります。これらは、明示的に取り消されるか変更されるまで有効です。認証情報が漏えいした場合の被害を抑えるため、Google Cloud では、このコア認証情報の代わりに短期の認証情報であるトークンを使用します。トークンには有効期間があり、リクエストシーケンスの一部として動的に作成されます。このトークンはリクエストと一緒に渡され、アカウントを安全に認証するために使用されます。

Cloud Functions で使用されるトークンには、アクセストークンと ID トークンの 2 種類があります。アクセストークンは通常、API 呼び出しの認証に使用され、ID トークンはデベロッパーが作成したコードの呼び出しを認証するために使用されます（たとえば、関数が別の関数を呼び出す場合）。トークン自体は OAuth 2 フレームワークとその拡張機能である Open Identity Connect を使用して作成されますが、シーケンスは複雑でエラーが発生しやすいため、Cloud クライアントライブラリを使用してプロセスを管理することを強くおすすめします。

認可

リクエスト送信者の ID が確認されたら、リクエスト送信者に許可されている内容を確認する必要があります。この評価は、認証されたアカウントの認証時に付与された権限に基づいて行われます。Cloud Functions は、Identity and Access Management（IAM）を使用してこれを行います。ロールは、便宜上グループ化された個別の権限の集合で、アカウントに直接、またはポリシーという構成を介して割り当てられます。通常、ロールセット内の個々の権限は、リクエストされたサービスが公開する単一の REST API 呼び出しに対応します。このプロセスの詳細については、IAM によるアクセスの承認をご覧ください。

ネットワークベースのアクセス制御

個々の関数のネットワーク設定を指定してアクセスを制限することもできます。これにより、関数の上り（内向き）、下り（外向き）のネットワークをより細かく制御できます。

隔離とサンドボックス化

内部では、関数インスタンスは、gVisor サンドボックスプラットフォームを使用して分離されています。設計上、関数は他の関数のオペレーション環境にアクセスできません。

実行環境の更新

安定性テスト期間の後に、Google によりセキュリティパッチとメンテナンス更新が提供されます。Cloud Functions はオペレーティングシステムや含まれているパッケージなど、実行環境の他の部分にも更新を適用します。こうした更新により、関数の実行環境を安全に維持できます。

Cloud Functions のセキュリティに関する更新

Cloud Functions には、次の 2 つのセキュリティ更新ポリシーがあります。

自動更新: ランタイム環境の更新とセキュリティパッチは、ランタイムイメージの新しいバージョンで公開されます。更新されたランタイムは、安定性と信頼性についてのテスト期間の後、すべての関数にロールアウトされ、ダウンタイムのない更新が行われます。セキュリティの自動更新は、Cloud Functions（第 1 世代）でのみ使用できます。
デプロイ時の更新: 特に明記されていない限り、更新とセキュリティパッチは、関数がデプロイまたは再デプロイされたときにのみランタイムに適用されます。デプロイ時の更新は、Cloud Functions（第 1 世代）と Cloud Functions（第 2 世代）の両方で利用できます。

実行環境のセキュリティに関する更新の詳細については、セキュリティ更新ポリシーをご覧ください。