Un trabajo de Cloud Run tiene una identidad de servicio que se usa como la cuenta autenticada para acceder a las APIs de Google Cloud desde el contenedor de instancias de Cloud Run. Para obtener más información acerca de la identidad del servicio, consulta la guía Introducción a la identidad del servicio.
Cómo se usa la identidad del servicio
En Cloud Run, la identidad del servicio es una cuenta de servicio que es un recurso y un principal.
- Identidad del servicio como recurso: para conectar una cuenta de servicio como la identidad del servicio, la cuenta del implementador debe tener acceso al recurso de identidad del servicio. Algunas operaciones, como crear o actualizar un trabajo, requieren que la cuenta del implementador tenga permisos en el recurso de identidad del servicio.
- Identidad del servicio como principal para acceder a las APIs de Google Cloud desde un trabajo de Cloud Run, debes otorgar a la identidad del servicio los roles o permisos necesarios para las operaciones que deseas que realice tu trabajo.
En la siguiente sección, se abordan los roles necesarios para otorgar a la cuenta del implementador acceso en el recurso de identidad del servicio y otorgar acceso para el principal de la cuenta de servicio.
Roles obligatorios
Tú o tu administrador deben otorgar roles y permisos de IAM para la cuenta del implementador y la identidad del servicio.
Haz clic para ver los roles necesarios para la cuenta del implementador
Para obtener los permisos que necesitas para conectar una cuenta de servicio como la
identidad de servicio en el trabajo, tú o tu administrador
deben otorgar a tu cuenta del implementador el
rol de usuario de cuenta de servicio
(roles/iam.serviceAccountUser
) en la cuenta de servicio
que se usa como identidad del servicio.
Este rol predefinido contiene el permiso iam.serviceAccounts.actAs
,
que se requiere para conectar una cuenta de servicio al
trabajo. También puedes obtener este permiso
si configuras roles personalizados
o usas otros roles predefinidos.
Para obtener instrucciones acerca de cómo otorgar a la cuenta del implementador este rol en la identidad del servicio, consulta Permisos de implementación. Si la cuenta de servicio está en un proyecto diferente del trabajo de Cloud Run, tú o tu administrador también deben configurar un rol de IAM para el agente de servicio de Cloud Run y configurar una política de la organización. Consulta Usa cuentas de servicio en otros proyectos para obtener más detalles.
Haz clic para ver los roles necesarios para la identidad del servicio
Para permitir que la identidad del servicio acceda a las APIs de Google Cloud desde Cloud Run, tú o tu administrador deben otorgar a la identidad del servicio los permisos o roles que requieren las operaciones que deseas realizar. Para acceder a bibliotecas cliente de Cloud específicas, consulta la documentación de Google Cloud sobre el servicio de Google Cloud.
Si un trabajo de Cloud Run no accede a otros servicios de Google Cloud, no necesitas otorgar roles ni permisos a la identidad del servicio, y puedes usar la cuenta de servicio predeterminada que se asignó al proyecto.
Obtén recomendaciones para crear cuentas de servicio dedicadas
Cuando creas una cuenta de servicio nueva desde la consola de Google Cloud, el paso opcional “Otorgar a esta cuenta de servicio acceso al proyecto” es para cualquier acceso adicional necesario. Por ejemplo, un servicio de Cloud Run puede invocar otro servicio privado de Cloud Run o acceder a una base de datos de Cloud SQL, y ambas acciones requieren roles específicos de IAM. Consulta la documentación acerca de la administración de acceso para obtener más información.
El servicio del recomendador proporciona automáticamente recomendaciones para crear cuentas de servicio dedicadas con el conjunto mínimo de permisos necesarios.
Configura la identidad del servicio
Para configurar la identidad del servicio en Cloud Run o especificarla, usa la consola de Google Cloud, gcloud CLI o la API (YAML) cuando crees y ejecutes un trabajo nuevo:
Console
En la consola de Google Cloud, ve a la página de trabajos de Cloud Run:
Haz clic en Implementar contenedor y selecciona Trabajo para completar la página de configuración de trabajo inicial. Si quieres configurar un trabajo existente, selecciona el trabajo y, luego, haz clic en Editar.
Haz clic en Contenedor, variables y secretos, conexiones y seguridad para expandir la página de propiedades del trabajo.
Haz clic en la pestaña Seguridad.
- Haz clic en el menú desplegable Cuenta de servicio y selecciona una cuenta de servicio existente, o haz clic en Crear una nueva cuenta de servicio si corresponde.
Haz clic en Crear o Actualizar.
gcloud
Puedes crear un trabajo nuevo y especificar la cuenta de servicio a través del siguiente comando:
gcloud run jobs create JOB_NAME --service-account SERVICE_ACCOUNT
Reemplaza lo siguiente:
- JOB_NAME por el nombre de tu servicio
- SERVICE_ACCOUNT por la cuenta de servicio asociada a la identidad nueva: este valor es la dirección de correo electrónico de la cuenta de servicio, por ejemplo,
example@myproject.iam.gserviceaccount.com
.
Puedes actualizar un trabajo existente para tener una cuenta de servicio nueva a través del siguiente comando:
gcloud run jobs update JOB_NAME --image IMAGE_URL --service-account SERVICE_ACCOUNT
Reemplaza lo siguiente:
- IMAGE_URL por una referencia a la imagen del contenedor, como
us-docker.pkg.dev/cloudrun/container/hello:latest
Si usas Artifact Registry, el repositorio REPO_NAME debe estar creado. La URL tiene el formatoLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
. - SERVICE_ACCOUNT por la cuenta de servicio asociada a la identidad nueva: este valor es la dirección de correo electrónico de la cuenta de servicio, por ejemplo,
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
.
YAML
Si aún no creaste una cuenta de servicio, puedes crear una cuenta de servicio administrada por el usuario en IAM.
Si creas un trabajo nuevo, omite este paso. Si actualizas un trabajo existente, descarga su configuración de YAML:
gcloud run jobs describe JOB_NAME --format export > job.yaml
Actualiza el atributo
serviceAccountName:
:apiVersion: run.googleapis.com/v1 kind: Job metadata: name: JOB_NAME spec: template: spec: template: spec: serviceAccountName: SERVICE_ACCOUNT
Reemplazar
- JOB_NAME por el nombre del trabajo de Cloud Run.
- SERVICE_ACCOUNT por la cuenta de servicio asociada a la identidad nueva: este valor es la dirección de correo electrónico de la cuenta de servicio, por ejemplo,
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
.
Actualiza la configuración del trabajo existente:
gcloud run jobs replace job.yaml
Usa cuentas de servicio en otros proyectos
Si configuras una cuenta de servicio de un proyecto de Google Cloud diferente del recurso de Cloud Run, haz lo siguiente:
Tú o tu administrador deben otorgar el rol de usuario de cuenta de servicio (
roles/iam.serviceAccountUser
) en la cuenta de servicio que usas como identidad del servicio.Console
Ve a la página Cuentas de servicio de Google Cloud Console.
Selecciona la dirección de correo electrónico de la cuenta de servicio que usas como identidad del servicio.
Haz clic en la pestaña Permisos.
Haz clic en el botón
Otorgar acceso.Ingresa la dirección de correo electrónico de la cuenta del implementador que coincida con la principal a la que le otorgas el rol de administrador o desarrollador.
En el menú desplegable Seleccionar un rol, selecciona el rol Cuentas de servicio > Usuario de cuenta de servicio.
Haz clic en Guardar.
gcloud
Usa el comando
gcloud iam service-accounts add-iam-policy-binding
y reemplaza las variables destacadas por los valores adecuados:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="PRINCIPAL" \ --role="roles/iam.serviceAccountUser"
Reemplaza lo siguiente:
SERVICE_ACCOUNT_NAME
: el nombre de la cuenta de servicio a la que conectas el recurso de Cloud Run.SERVICE_ACCOUNT_PROJECT_ID
: el ID del proyecto en el que se encuentra la cuenta de servicio.PRINCIPAL por la cuenta del implementador a la que agregas la vinculación, a través del formato
user|group|serviceAccount:email
odomain:domain
. Por ejemplo:user:test-user@gmail.com
group:admins@example.com
serviceAccount:test123@example.domain.com
domain:example.domain.com
Tú o tu administrador deben otorgar al agente de servicio del recurso de Cloud Run el rol de creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator
) en la cuenta de servicio que usas como identidad del servicio. El agente de servicio sigue el formato deservice-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com
.Console
Ve a la página Cuentas de servicio de Google Cloud Console.
Selecciona la dirección de correo electrónico de la cuenta de servicio que usas como identidad del servicio.
Haz clic en la pestaña Permisos.
Haz clic en el botón
Otorgar acceso.Ingresa la dirección de correo electrónico del agente de servicio. Por ejemplo:
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com
En el menú desplegable Seleccionar un rol, selecciona el Cuentas de servicio > Creador de tokens de cuenta de servicio.
Haz clic en Guardar.
gcloud
Usa el comando
gcloud iam service-accounts add-iam-policy-binding
:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"
Reemplaza los siguientes valores:
SERVICE_ACCOUNT_NAME
: el nombre de la cuenta de servicio a la que conectas el recurso de Cloud Run.SERVICE_ACCOUNT_PROJECT_ID
: el ID del proyecto en el que se encuentra la cuenta de servicio.CLOUD_RUN_RESOURCE_PROJECT_NUMBER
: el número del proyecto en el que se encuentra Cloud Run.
El comando imprime la política de permisos actualizada para la cuenta de servicio administrada por el usuario.
El proyecto que contiene esta cuenta de servicio requiere que la política de la organización
iam.disableCrossProjectServiceAccountUsage
se establezca como falsa o no se aplique a nivel de carpeta o se herede de la configuración a nivel de proyecto. El valor predeterminado es detrue
.Console
Ve a la página Políticas de la organización en la consola de Google Cloud:
En el selector de proyectos, selecciona la organización y el proyecto para los que deseas inhabilitar el uso de la cuenta de servicio entre proyectos.
Selecciona la política Inhabilitar el uso de cuentas de servicio entre proyectos.
Haz clic en Administrar política.
En Fuente de la política, selecciona Anular la política del elemento superior.
Haz clic en Agregar una regla.
En Aplicación forzosa, selecciona Desactivada.
Para aplicar la política, haz clic en Establecer política.
gcloud
En el proyecto que tiene la cuenta de servicio, asegúrate de que no se aplique la restricción de la política de la organización
iam.disableCrossProjectServiceAccountUsage
. Esta restricción se aplica de forma predeterminada.Para inhabilitar esta restricción de política de la organización, ejecuta el siguiente comando:
gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage --project=SERVICE_ACCOUNT_PROJECT_ID
Reemplaza SERVICE_ACCOUNT_PROJECT_ID por el ID del proyecto que contiene la cuenta de servicio.
Puedes aplicar membresías de roles directamente al recurso de la cuenta de servicio o heredar de niveles superiores en la jerarquía de recursos.
¿Qué sigue?
- Para obtener más información acerca de las cuentas de servicio, consulta las guías Cuenta de servicio de IAM y Cuenta de servicio administrada por el usuario.
- Si tu servicio o trabajo de Cloud Run accede a las APIs de Google o a los servicios de Google Cloud, debes configurar tu cuenta de servicio como la identidad del servicio. Obtén más información.