Tugas Cloud Run memiliki identitas layanan yang digunakan sebagai akun yang diautentikasi untuk mengakses Google Cloud API dari container instance Cloud Run. Untuk mempelajari identitas layanan lebih lanjut, lihat bagian Pengantar identitas layanan kami.
Cara penggunaan identitas layanan
Di Cloud Run, identitas layanan adalah akun layanan yang resource dan akun utama.
- Identitas layanan sebagai resource: Untuk melampirkan akun layanan sebagai identitas layanan, akun deployer harus memiliki akses ke resource identitas layanan. Operasi tertentu, seperti untuk membuat atau memperbarui tugas, mengharuskan akun deployer untuk memiliki izin pada resource identitas layanan.
- Identitas layanan sebagai akun utama: Untuk mengakses Google Cloud API dari tugas Cloud Run, Anda harus memberikan izin identitas layanan peran atau izin yang diperlukan untuk operasi yang Anda inginkan yang dilakukan dalam pekerjaan Anda.
Bagian selanjutnya membahas peran yang diperlukan untuk memberikan akun deployer mengakses resource identitas layanan dan memberikan akses untuk layanan tersebut akun utama.
Peran yang diperlukan
Anda atau administrator Anda harus memberikan peran dan izin IAM untuk akun deployer dan identitas layanan.
Klik untuk melihat peran yang diperlukan untuk akun deployer
Untuk mendapatkan izin yang diperlukan, Anda perlu melampirkan akun layanan sebagai
identitas layanan di tempat kerja, Anda atau administrator Anda
Anda harus memberi akun deployer Anda
Service Account User
peran (roles/iam.serviceAccountUser) di akun layanan
yang digunakan sebagai identitas layanan.
Peran bawaan ini berisi iam.serviceAccounts.actAs
izin akses, yang diperlukan untuk melampirkan akun layanan pada
pekerjaan. Anda mungkin juga bisa
mendapatkan izin ini
dengan mengonfigurasi peran khusus
atau menggunakan peran bawaan lainnya.
Untuk petunjuk cara memberikan peran ini kepada akun deployer pada identitas layanan, lihat izin deployment. Jika akun layanan berada dalam project yang berbeda dengan Tugas Cloud Run, Anda atau administrator Anda juga harus mengonfigurasi peran IAM untuk Agen layanan Cloud Run dan menyiapkan kebijakan organisasi. Lihat menggunakan akun layanan dalam project lain untuk mengetahui detail selengkapnya.
Klik untuk melihat peran yang diperlukan untuk identitas layanan
Untuk mengizinkan identitas layanan mengakses Google Cloud API dari Cloud Run, Anda atau administrator harus memberikan layanan identitas izin atau peran yang diperlukan oleh operasi yang ingin Anda lakukan. Untuk mengakses Library Klien Cloud, lihat dokumentasi Google Cloud untuk layanan Google Cloud tertentu.
Jika tugas Cloud Run tidak mengakses layanan Google Cloud lainnya, Anda tidak perlu memberikan menentukan peran atau izin apa pun, dan Anda dapat menggunakan layanan default akun yang ditetapkan untuk project tersebut.
Mendapatkan rekomendasi untuk membuat akun layanan khusus
Saat Anda membuat akun layanan baru dari konsol Google Cloud, langkah opsional "Berikan akses project ke akun layanan ini" ditujukan untuk akses tambahan yang diperlukan. Misalnya, satu layanan Cloud Run mungkin memanggil lainnya layanan Cloud Run pribadi, atau mungkin mengakses database Cloud SQL, baik yang memerlukan peran IAM tertentu. Baca dokumentasi tentang mengelola akses untuk informasi selengkapnya.
Layanan Pemberi Rekomendasi juga secara otomatis memberikan rekomendasi untuk membuat akun layanan khusus dengan sekumpulan izin akses yang diperlukan.
Mengonfigurasi identitas layanan
Untuk mengonfigurasi identitas layanan di Cloud Run atau menentukannya, gunakan konsol Google Cloud, gcloud CLI, atau API (YAML) saat Anda membuat dan menjalankan tugas baru:
Konsol
Pada konsol Google Cloud, buka halaman tugas Cloud Run:
Klik Deploy container dan pilih Job untuk mengisi tugas awal halaman setelan. Jika Anda mengonfigurasi tugas yang ada, pilih tugas tersebut, lalu klik Edit.
Klik Container, variabel dan secret, koneksi, keamanan untuk memperluas halaman properti tugas.
Klik tab Keamanan.
- Klik dropdown Akun layanan dan pilih akun layanan yang ada, atau klik Buat akun layanan baru jika berlaku.
Klik Buat atau Perbarui.
gcloud
Anda dapat membuat tugas baru dan tentukan akun layanan dengan menggunakan perintah berikut:
gcloud run jobs create JOB_NAME --service-account SERVICE_ACCOUNT
Ganti:
- JOB_NAME dengan nama layanan Anda.
- SERVICE_ACCOUNT dengan akun layanan yang terkait dengan
identitas baru: nilai ini adalah alamat email untuk akun layanan,
misalnya,
example@myproject..
Anda dapat memperbarui tugas yang ada akun layanan baru dengan menggunakan perintah berikut:
gcloud run jobs update JOB_NAME --image IMAGE_URL --service-account SERVICE_ACCOUNT
Ganti:
- IMAGE_URL dengan referensi ke image container,
misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL berbentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG. - SERVICE_ACCOUNT dengan akun layanan yang terkait dengan
identitas baru: nilai ini adalah alamat email untuk akun layanan,
misalnya,
SERVICE_ACCOUNT_NAME@PROJECT_ID..
YAML
Jika belum membuat akun layanan, Anda dapat membuat akun layanan yang dikelola pengguna di IAM Anda.
Jika Anda membuat tugas baru, lewati langkah ini. Jika Anda mengupdate tugas yang sudah ada, download konfigurasi YAML:
gcloud run jobs describe JOB_NAME --format export > job.yaml
Perbarui atribut
serviceAccountName::apiVersion: run.googleapis.com/v1 kind: Job metadata: name: JOB_NAME spec: template: spec: template: spec: serviceAccountName: SERVICE_ACCOUNT
Ganti
- JOB_NAME dengan nama tugas Cloud Run Anda.
- SERVICE_ACCOUNT dengan akun layanan yang terkait dengan
identitas baru: nilai ini adalah alamat email untuk akun layanan,
misalnya,
SERVICE_ACCOUNT_NAME@PROJECT_ID..
Perbarui konfigurasi tugas yang ada:
gcloud run jobs replace job.yaml
Menggunakan akun layanan di project lain
Jika Anda mengonfigurasi akun layanan dari project Google Cloud yang berbeda daripada resource Cloud Run, lakukan langkah berikut:
Anda atau administrator Anda harus memberikan Peran Service Account User (
roles/iam.serviceAccountUser) di akun layanan yang Anda gunakan sebagai identitas layanan.Konsol
Buka halaman akun Layanan di konsol Google Cloud:
Pilih alamat email akun layanan yang Anda gunakan sebagai layanan identitas Anda.
Klik tab Izin.
Klik Berikan akses tombol.
Masukkan alamat email akun deploymenter yang cocok dengan akun utama yang Anda berikan peran Admin atau {i>Developer<i}.
Di drop-down Pilih peran, pilih Akun Layanan > Peran Service Account User.
Klik Simpan.
gcloud
Gunakan perintah
gcloud iam service-accounts add-iam-policy-binding. mengganti variabel yang disorot dengan nilai yang sesuai:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID. \ --member="PRINCIPAL" \ --role="roles/iam.serviceAccountUser"
Ganti:
SERVICE_ACCOUNT_NAME: Nama akun layanan tempat Anda melampirkan Cloud Run ke resource.SERVICE_ACCOUNT_PROJECT_ID: Project ID tempat akun layanan Anda ditemukan.PRINCIPAL dengan akun deployer yang Anda tambahkan mengikat, menggunakan format
user|group|serviceAccount:emailataudomain:domain. Contoh:user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
Anda atau administrator harus memberikan izin agen layanan peran Service Account Token Creator (
roles/iam.serviceAccountTokenCreator) di akun layanan yang Anda gunakan sebagai identitas layanan. Agen layanan mengikuti formatservice-PROJECT_NUMBER@serverless-robot-prod..Konsol
Buka halaman akun Layanan di konsol Google Cloud:
Pilih alamat email akun layanan yang Anda gunakan sebagai layanan identitas Anda.
Klik tab Izin.
Klik Berikan akses tombol.
Masukkan alamat email agen layanan. Contoh:
service-PROJECT_NUMBER@serverless-robot-prod.Di drop-down Pilih peran, pilih Akun Layanan > Service Account Token Creator.
Klik Simpan.
gcloud
Gunakan perintah
gcloud iam service-accounts add-iam-policy-binding:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID. \ --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod." \ --role="roles/iam.serviceAccountTokenCreator"
Ganti nilai berikut:
SERVICE_ACCOUNT_NAME: Nama akun layanan tempat Anda melampirkan Cloud Run ke resource.SERVICE_ACCOUNT_PROJECT_ID: Project ID tempat akun layanan Anda ditemukan.CLOUD_RUN_RESOURCE_PROJECT_NUMBER: Nomor project tempat Cloud Run berada.
Perintah ini mencetak kebijakan izin yang diperbarui untuk akun layanan yang dikelola pengguna.
Project yang berisi akun layanan ini memerlukan kebijakan organisasi
iam.disableCrossProjectServiceAccountUsageakan ditetapkan ke false atau tidak diterapkan di level folder atau diwarisi dari level project setelan. Secara default, nilai ini ditetapkan ketrue.Konsol
Buka halaman Kebijakan organisasi di Konsol Google Cloud:
Dari pemilih project, pilih organisasi dan project untuk yang penggunaan akun layanan lintas projectnya ingin Anda nonaktifkan.
Pilih kebijakan nonaktifkan penggunaan akun layanan lintas project.
Klik Manage Policy.
Di bagian Sumber kebijakan, pilih Ganti kebijakan induk.
Klik Add a rule.
Di bagian Penerapan, pilih Nonaktif.
Untuk menerapkan kebijakan, klik Setel kebijakan.
gcloud
Dalam project yang memiliki akun layanan, pastikan bahwa
iam.disableCrossProjectServiceAccountUsagebatasan kebijakan organisasi tidak diberlakukan. Batasan ini diterapkan secara default.Untuk menonaktifkan batasan kebijakan organisasi ini, jalankan:
gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage --project=SERVICE_ACCOUNT_PROJECT_ID
Ganti SERVICE_ACCOUNT_PROJECT_ID dengan project ID yang berisi akun layanan.
Anda dapat menerapkan keanggotaan peran secara langsung ke resource akun layanan atau mendapatkannya dari level yang lebih tinggi dalam hierarki resource.
Langkah selanjutnya
- Untuk informasi selengkapnya tentang akun layanan, lihat Akun layanan IAM dan panduan akun layanan yang dikelola pengguna.
- Jika layanan atau tugas Cloud Run Anda mengakses Google API atau layanan Google Cloud, Anda harus mengonfigurasi akun layanan sebagai identitas layanan. Pelajari lebih lanjut.