Un service ou une révision Cloud Run possède une identité de service utilisée comme compte authentifié pour accéder aux API Google Cloud à partir de votre conteneur d'instances Cloud Run. Pour en savoir plus sur l'identité de service, consultez le guide Présentation de l'identité de service.
Utilisation de l'identité du service
Dans Cloud Run, l'identité de service est un compte de service qui est à la fois une ressource et un compte principal.
- Identité de service en tant que ressource : pour associer un compte de service en tant qu'identité de service, le compte déployeur doit avoir accès à la ressource d'identité de service. Certaines opérations, telles que la création ou la mise à jour d'un service ou d'une révision, nécessitent que le compte déployeur dispose d'autorisations sur la ressource d'identité du service.
- Identité du service en tant que compte principal : pour accéder aux API Google Cloud à partir d'un service ou d'une révision Cloud Run, vous devez accorder à l'identité du service les rôles ou les autorisations nécessaires pour les opérations que vous souhaitez que votre service ou révision effectue.
La section suivante décrit les rôles requis pour accorder au compte de déploiement l'accès à la ressource d'identité du service et accorder l'accès au compte de service principal.
Rôles requis
Vous ou votre administrateur devez attribuer des rôles et des autorisations IAM pour le compte déployeur et l'identité de service.
Cliquez ici pour afficher les rôles requis pour le compte déployeur
Pour obtenir les autorisations nécessaires pour associer un compte de service en tant qu'identité de service sur le service ou la révision, vous ou votre administrateur devez attribuer le rôle Utilisateur du compte de service (roles/iam.serviceAccountUser
) sur le compte de service utilisé comme identité de service.
Ce rôle prédéfini contient l'autorisation iam.serviceAccounts.actAs
, qui est requise pour associer un compte de service au service ou à la révision. Vous pouvez également obtenir cette autorisation en configurant des rôles personnalisés ou en utilisant d'autres rôles prédéfinis.
Pour savoir comment attribuer au compte déployeur ce rôle sur l'identité de service, consultez la section Autorisations de déploiement. Si le compte de service se trouve dans un projet différent du service ou de la révision Cloud Run, vous ou votre administrateur devez également configurer un rôle IAM pour l'agent de service Cloud Run et configurer une règle d'administration. Pour en savoir plus, consultez la section Utiliser des comptes de service dans d'autres projets.
Cliquez ici pour afficher les rôles requis pour l'identité de service
Pour autoriser l'identité de service à accéder aux API Google Cloud à partir de Cloud Run, vous ou votre administrateur devez lui attribuer les autorisations ou rôles requis par les opérations que vous souhaitez effectuer. Pour accéder à des bibliothèques clientes Cloud spécifiques, reportez-vous à la documentation Google Cloud du service Google Cloud.
Si un service ou une révision Cloud Run n'accède pas à d'autres services Google Cloud, vous n'avez pas besoin d'attribuer de rôles ni d'autorisations à l'identité du service, et vous pouvez utiliser le compte de service par défaut attribué au projet.
Obtenir des recommandations pour créer des comptes de service dédiés
Lorsque vous créez un compte de service à partir de la console Google Cloud, l'étape facultative "Autoriser ce compte de service à accéder au projet" concerne tout accès supplémentaire requis. Par exemple, un service Cloud Run peut appeler un autre service Cloud Run privé ou il peut avoir besoin d'accéder à une base de données Cloud SQL, et ces actions nécessitent toutes deux des rôles IAM spécifiques. Pour en savoir plus, consultez la documentation sur la gestion des accès.
L'outil de recommandation fournit automatiquement des recommandations pour la création d'un compte de service dédié avec un ensemble minimal d'autorisations requises.
Configurer l'identité du service
Si vous n'avez pas encore créé de compte de service, vous pouvez créer un compte de service géré par l'utilisateur dans IAM ou dans Cloud Run.
Pour configurer l'identité du service, utilisez la console Google Cloud, la gcloud CLI ou l'API (YAML) lorsque vous créez un service ou déployez un nouvelle révision, ou Terraform :
Console
Dans la console Google Cloud, accédez à Cloud Run :
Cliquez sur Créer un service si vous configurez un nouveau service sur lequel effectuer un déploiement. Si vous configurez un service existant, cliquez sur celui-ci puis sur Modifier et déployer la nouvelle révision.
Si vous configurez un nouveau service, remplissez la page initiale des paramètres du service selon vos besoins, puis cliquez sur Conteneur(s), volumes, mise en réseau et sécurité pour développer la page de configuration du service.
Cliquez sur l'onglet Security (Sécurité).
- Cliquez sur le menu déroulant Compte de service et sélectionnez un compte de service existant ou cliquez sur Créer un compte de service, le cas échéant.
Cliquez sur Créer ou Déployer.
gcloud
Si vous n'avez pas encore créé de compte de service, vous pouvez créer un compte de service géré par l'utilisateur dans IAM.
Vous pouvez mettre à jour un service existant de façon à disposer d'un nouveau compte de service à l'aide de la commande suivante :
gcloud run services update SERVICE --service-account SERVICE_ACCOUNT
Remplacez :
- SERVICE par le nom de votre service.
- SERVICE_ACCOUNT par le compte de service associé à la nouvelle identité. Cette valeur correspond à l'adresse e-mail du compte de service, par exemple
example@myproject.iam.gserviceaccount.com
.
Vous pouvez également définir un compte de service lors du déploiement à l'aide de la commande suivante :
gcloud run deploy --image IMAGE_URL --service-account SERVICE_ACCOUNT
Remplacez :
- IMAGE_URL par une référence à l'image de conteneur, par exemple
us-docker.pkg.dev/cloudrun/container/hello:latest
. Si vous utilisez Artifact Registry, le dépôt REPO_NAME doit déjà être créé. L'URL se présente sous la forme suivante :LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
. - SERVICE_ACCOUNT par le compte de service associé à la nouvelle identité. Cette valeur correspond à l'adresse e-mail du compte de service, par exemple
example@myservice.iam.gserviceaccount.com
.
YAML
Si vous n'avez pas encore créé de compte de service, vous pouvez créer un compte de service géré par l'utilisateur dans IAM.
Si vous créez un service, ignorez cette étape. Si vous mettez à jour un service existant, téléchargez sa configuration YAML :
gcloud run services describe SERVICE --format export > service.yaml
Mettez à jour l'attribut
serviceAccountName:
:apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE spec: template: spec: serviceAccountName: SERVICE_ACCOUNT
Remplacez :
- SERVICE par le nom de votre service Cloud Run ;
- SERVICE_ACCOUNT par le compte de service associé à la nouvelle identité. Cette valeur correspond à l'adresse e-mail du compte de service, par exemple
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
.
Créez ou mettez à jour le service à l'aide de la commande suivante :
gcloud run services replace service.yaml
Terraform
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.
Pour créer un compte de service, ajoutez la ressource suivante à votre fichier main.tf
existant :
Créez ou mettez à jour un service Cloud Run et incluez votre compte de service :
Utiliser des comptes de service dans d'autres projets
Si vous configurez un compte de service à partir d'un autre projet Google Cloud que la ressource Cloud Run, procédez comme suit :
Vous ou votre administrateur devez attribuer le rôle Utilisateur du compte de service (
roles/iam.serviceAccountUser
) sur le compte de service que vous utilisez comme identité de service.Console
Accédez à la page Comptes de service de Google Cloud Console :
Sélectionnez l'adresse e-mail du compte de service que vous utilisez comme identité de service.
Cliquez sur l'onglet Autorisations.
Cliquez sur le bouton
Accorder l'accès.Saisissez l'adresse e-mail du compte déployeur correspondant au compte principal auquel vous attribuez le rôle Administrateur ou Développeur.
Dans la liste déroulante Sélectionner un rôle, sélectionnez le rôle Comptes de service > Utilisateur du compte de service.
Cliquez sur Enregistrer.
gcloud
Exécutez la commande
gcloud iam service-accounts add-iam-policy-binding
en remplaçant les variables en surbrillance par les valeurs appropriées :gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="PRINCIPAL" \ --role="roles/iam.serviceAccountUser"
Remplacez :
SERVICE_ACCOUNT_NAME
: nom du compte de service auquel vous associez la ressource Cloud RunSERVICE_ACCOUNT_PROJECT_ID
: ID du projet dans lequel se trouve le compte de servicePRINCIPAL par le compte déployeur pour lequel vous ajoutez la liaison, au format
user|group|serviceAccount:email
oudomain:domain
. Par exemple :user:test-user@gmail.com
group:admins@example.com
serviceAccount:test123@example.domain.com
domain:example.domain.com
Vous ou votre administrateur devez accorder à l'agent de service de la ressource Cloud Run le rôle de créateur de jetons du compte de service (
roles/iam.serviceAccountTokenCreator
) sur le compte de service que vous utilisez comme identité de service. L'agent de service respecte le formatservice-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com
.Console
Accédez à la page Comptes de service de Google Cloud Console :
Sélectionnez l'adresse e-mail du compte de service que vous utilisez comme identité de service.
Cliquez sur l'onglet Autorisations.
Cliquez sur le bouton
Accorder l'accès.Saisissez l'adresse e-mail de l'agent de service. Exemple :
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com
.Dans la liste déroulante Sélectionner un rôle, sélectionnez le rôle Comptes de service > Créateur de jetons du compte de service.
Cliquez sur Enregistrer.
gcloud
Exécutez la commande
gcloud iam service-accounts add-iam-policy-binding
:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"
Remplacez les valeurs suivantes :
SERVICE_ACCOUNT_NAME
: nom du compte de service auquel vous associez la ressource Cloud RunSERVICE_ACCOUNT_PROJECT_ID
: ID du projet dans lequel se trouve le compte de serviceCLOUD_RUN_RESOURCE_PROJECT_NUMBER
: numéro du projet dans lequel se trouve l'environnement Cloud Run.
La commande affiche la stratégie d'autorisation mise à jour du compte de service géré par l'utilisateur.
Le projet contenant ce compte de service nécessite que la règle d'organisation
iam.disableCrossProjectServiceAccountUsage
soit définie sur false ou non appliquée au niveau du dossier ou héritée des paramètres au niveau du projet. Par défaut, cette valeur est définie surtrue
.Console
Accédez à la page Règles d'administration dans la console Google Cloud :
Dans l'outil de sélection de projets, sélectionnez l'organisation et le projet pour lesquels vous souhaitez désactiver l'utilisation des comptes de service multiprojets.
Sélectionnez la règle Désactiver l'utilisation des comptes de service multiprojets.
Cliquez sur Gérer la règle.
Sous Source de la règle, sélectionnez Remplacer la règle parente.
Cliquez sur Ajouter une règle.
Sous Application, sélectionnez Désactivé.
Pour appliquer la règle, cliquez sur Définir la règle.
gcloud
Dans le projet contenant le compte de service, assurez-vous que la contrainte de règle d'administration
iam.disableCrossProjectServiceAccountUsage
n'est pas appliquée. Cette contrainte est appliquée par défaut.Pour désactiver cette contrainte de règle d'administration, exécutez la commande suivante :
gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage --project=SERVICE_ACCOUNT_PROJECT_ID
Remplacez SERVICE_ACCOUNT_PROJECT_ID par l'ID du projet contenant le compte de service.
Vous pouvez attribuer des rôles directement à la ressource du compte de service ou hériter des niveaux supérieurs de la hiérarchie des ressources.
Étapes suivantes
- Pour en savoir plus sur les comptes de service, consultez les guides Compte de service IAM et Compte de service géré par l'utilisateur.
- Si votre job ou votre service Cloud Run accède aux API Google ou aux services Google Cloud, vous devez configurer votre compte de service en tant qu'identité de service. En savoir plus