Workflows usa cuentas de servicio para brindar el acceso a los flujos de trabajo a los recursos de Google Cloud. Las cuentas de servicio son especiales que actúan como la identidad de una persona, como una función, un aplicación o una VM. Te dan una forma de autenticar a estas personas que no son personas. R de servicio pueden considerarse tanto una identidad como un recurso.
Cuando una cuenta de servicio se considera una identidad, puedes otorgar un rol a una cuenta de servicio, lo que le permite acceder a un recurso (como un flujo de trabajo).
Cuando piensas en una cuenta de servicio como un recurso, puedes otorgar roles a que otros usuarios accedan a esa cuenta de servicio o la administren.
Una cuenta de servicio se identifica por su dirección de correo electrónico, que es única a la cuenta.
Para obtener más información sobre cómo configurar la autenticación con una instancia aplicación, consulta Autentícate como una cuenta de servicio.
Cuenta de servicio predeterminada
Cada flujo de trabajo se asocia con un servicio de Identity and Access Management (IAM) en el momento en que se crea el flujo de trabajo. Si no especificas un servicio durante la creación del flujo de trabajo, este usa la configuración cuenta de servicio de Compute Engine para su identidad. Puedes verificar que el flujo de trabajo cuenta de servicio asociada. En este documento, consulta Verifica la cuenta de servicio asociada de un flujo de trabajo.
Recomendamos usar la cuenta de servicio predeterminada para pruebas y desarrollo solamente. Para los entornos de producción, recomendamos crear un nuevo cuenta de servicio y le otorgas uno o más roles de IAM que contienen el permisos mínimos necesarios para administrar flujos de trabajo.
Permisos de las cuentas de servicio
Debido a que las cuentas de servicio son identidades, puedes permitir que una cuenta de servicio acceda a los recursos de tu proyecto si le otorgas una función, al igual que lo harías con cualquier otra principal. Por ejemplo, si quieres permitir que tu flujo de trabajo envíe registros
Cloud Logging, asegúrate de que la cuenta de servicio que ejecuta el flujo de trabajo tenga
un rol que incluya el permiso logging.logEntries.create
(por ejemplo, el rol Logs Writer).
Ten en cuenta que la cuenta de servicio del flujo de trabajo no requiere el elemento workflows.invoker.
a menos que el flujo de trabajo se invoque a sí mismo o a otros flujos de trabajo (es decir,
nuevas ejecuciones de flujos de trabajo). Para obtener más información, consulta
Invoca flujos de trabajo.
Para obtener más información sobre cómo otorgar roles a las principales, incluidas las cuentas de servicio, consulta consulta Administra el acceso a proyectos, carpetas y organizaciones.
Conecta cuentas de servicio a recursos
Si quieres crear un recurso y conectar una cuenta de servicio, necesitas permisos para
cree el recurso y le adjunta la cuenta de servicio.
Cualquier rol proporciona el permiso para conectar la cuenta de servicio a un recurso.
que incluya el permiso iam.serviceAccounts.actAs.
Si deseas obtener más información, consulta Roles para la autenticación de cuentas de servicio.
Invoca Cloud Functions (2nd gen)
En Cloud Functions (2nd gen), los permisos de invocación están disponibles mediante la administración
el servicio subyacente de Cloud Run. Si tu flujo de trabajo invoca un
Cloud Function (2ª gen.), no es necesario que otorgues
de la cuenta de servicio del emisor, el invocador de Cloud Functions
(roles/cloudfunctions.invoker). En su lugar, debes otorgar el acceso
Rol de Invocador de Cloud Run (roles/run.invoker).
Para obtener más información, consulta Comparación de versiones de Cloud Functions.
Implementa un flujo de trabajo con una cuenta de servicio personalizada
Puedes crear tu propia cuenta de servicio administrada por el usuario para brindarte más y flexibilidad para controlar el acceso a tu flujo de trabajo.
Crea una cuenta de servicio y anota su nombre:
Otorga la cuenta de servicio los roles apropiados según los recursos a los que debe acceder el flujo de trabajo para hacer su trabajo.
Asegúrate de que todas las principales que implementan flujos de trabajo tengan la capacidad de adjuntar la cuenta de servicio a los recursos. Si creaste la cuenta de servicio, puedes se otorgó este permiso automáticamente. Para obtener más información, consulta Roles para autenticación de cuenta de servicio.
Si quieres obtener el permiso que necesitas para conectar una cuenta de servicio a un recurso, solicita a tu administrador que te otorgue el Es el rol de IAM de usuario de cuenta de servicio (
roles/iam.serviceAccountUser) en tu proyecto o la cuenta de servicio. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.Este rol predefinido contiene las
iam.serviceAccounts.actAs, que es necesarias para conectar una cuenta de servicio a un recurso.También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Otorga el rol en el proyecto:
gcloud projects add-iam-policy-binding WORKFLOWS_PROJECT_ID \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'O bien, otorga el rol en la cuenta de servicio:
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'Reemplaza lo siguiente:
WORKFLOWS_PROJECT_ID: Es tu proyecto de Google Cloud. ID que contiene los recursos del flujo de trabajoPRINCIPAL: Es un identificador para el implementador del flujo de trabajo. en el formatouser|group|serviceAccount:emailodomain:domain. Por ejemplo:user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
SERVICE_ACCOUNT_RESOURCE_NAME: Es el recurso completo. de la cuenta de servicio. Por ejemplo:projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.comAquí:
SERVICE_ACCOUNT_PROJECT_IDes Google Cloud el ID del proyecto que contiene la cuenta de servicio.SERVICE_ACCOUNT_NAMEes el nombre de la cuenta de servicio.
Implementa tu flujo de trabajo con la cuenta de servicio personalizada.
Implementa un flujo de trabajo con una cuenta de servicio entre proyectos
De forma predeterminada, no puedes crear una cuenta de servicio en un proyecto y conectarla a un recurso en otro proyecto. En las siguientes instrucciones, se muestra cómo adjuntar de una cuenta de servicio de un proyecto a un flujo de trabajo en otro proyecto. Luego, puedes usar la cuenta de servicio en distintos proyectos para implementar un flujo de trabajo.
Si la cuenta de servicio y los recursos del flujo de trabajo están en proyectos diferentes desde el proyecto en el que se encuentra la cuenta de servicio, completa lo siguiente:
En la consola de Google Cloud, ve a la página Políticas de la organización:
Ir a Políticas de la organización
Verifica la política de la organización del proyecto y asegurarte de que el La restricción booleana
iam.disableCrossProjectServiceAccountUsageno es para el proyecto. Para obtener más información, consulta Habilita las cuentas de servicio para que se vinculen a través de proyectos.Crea una cuenta de servicio y anota su nombre:
Otorga la cuenta de servicio los roles apropiados según los recursos a los que debe acceder el flujo de trabajo para hacer su trabajo.
Otorga el rol Creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator) a Workflows agente de servicio. Esto permite que el agente de servicio administre los proyectos para la cuenta de servicio. Un agente de servicio es la identidad de un cliente servicio de Google Cloud para un proyecto en particular. Para obtener más información, consulta Agentes de servicio.Console
En la consola de Google Cloud, ve a Workflows página:
Haz clic en . Crear para crear un flujo de trabajo o seleccionar el nombre del flujo de trabajo que que quieres actualizar.
En la lista Cuenta de servicio, haz clic en Cambiar proyecto.
Selecciona una cuenta de servicio de un proyecto diferente.
Si se te solicita, otorga el rol
roles/iam.serviceAccountTokenCreatora el agente de servicio de Workflows.
gcloud
Otorga el rol
roles/iam.serviceAccountTokenCreatora la Agente de servicio de Workflows:gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \ --member='serviceAccount:service-WORKFLOWS_PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com' \ --role='roles/iam.serviceAccountTokenCreator'Reemplaza lo siguiente:
SERVICE_ACCOUNT_RESOURCE_NAME: El nombre completo del recurso de la cuenta de servicio. Por ejemplo:projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.comAquí:
SERVICE_ACCOUNT_PROJECT_IDes el ID del proyecto de Google Cloud que contiene la cuenta de servicio.SERVICE_ACCOUNT_NAMEes el nombre del cuenta de servicio.
WORKFLOWS_PROJECT_NUMBER: el Número de proyecto de Google Cloud que contiene los recursos del flujo de trabajo.
Asegúrate de que todas las principales que implementan flujos de trabajo tengan la capacidad de adjuntar la cuenta de servicio a los recursos. Si creaste la cuenta de servicio, puedes se otorgó este permiso automáticamente. Para obtener más información, consulta Roles para autenticación de cuenta de servicio.
Si quieres obtener el permiso que necesitas para conectar una cuenta de servicio a un recurso, solicita a tu administrador que te otorgue el Es el rol de IAM de usuario de cuenta de servicio (
roles/iam.serviceAccountUser) en tu proyecto o la cuenta de servicio. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.Este rol predefinido contiene las
iam.serviceAccounts.actAs, que es necesarias para conectar una cuenta de servicio a un recurso.También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Console
En la consola de Google Cloud, ve a Workflows página:
Haz clic en . Crear para crear un flujo de trabajo o seleccionar el nombre del flujo de trabajo que que quieres actualizar.
En la lista Cuenta de servicio, haz clic en Cambiar proyecto.
Selecciona una cuenta de servicio de un proyecto diferente.
Si se te solicita, otorga el rol
roles/iam.serviceAccountUseren la en un proyecto final.
gcloud
Otorga el rol en el proyecto:
gcloud projects add-iam-policy-binding WORKFLOWS_PROJECT_ID \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'O bien, otorga el rol en la cuenta de servicio:
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'Reemplaza lo siguiente:
WORKFLOWS_PROJECT_ID: tu Google Cloud ID del proyecto que contiene los recursos del flujo de trabajoPRINCIPAL: Es un identificador para el flujo de trabajo. implementador en el formatouser|group|serviceAccount:emailodomain:domain. Por ejemplo:user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
SERVICE_ACCOUNT_RESOURCE_NAME: El nombre completo del recurso de la cuenta de servicio. Por ejemplo:projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.comAquí:
SERVICE_ACCOUNT_PROJECT_IDes el ID del proyecto de Google Cloud que contiene la cuenta de servicio.SERVICE_ACCOUNT_NAMEes el nombre del cuenta de servicio.
Implementa tu flujo de trabajo con la cuenta de servicio entre proyectos.
Verifica la cuenta de servicio asociada con un flujo de trabajo
Puedes verificar qué cuenta de servicio está asociada con un flujo de trabajo en particular.
Console
En la consola de Google Cloud, ve a la página Workflows.
En la página Flujos de trabajo, haz clic en el flujo de trabajo. de la fuente de datos.
En la página Detalles del flujo de trabajo, haz clic en la pestaña Detalles.
Se muestra la cuenta de servicio asociada al flujo de trabajo.
gcloud
Abre una terminal.
Ingresa el siguiente comando:
gcloud workflows describe MY_WORKFLOW
Reemplaza
MY_WORKFLOWpor el nombre de tu en el flujo de trabajo.Se incluye una descripción completa del flujo de trabajo que incluye la cuenta de servicio asociada que se devuelven. Por ejemplo:
createTime: '2020-06-05T23:45:34.154213774Z' name: projects/myProject/locations/us-central1/workflows/myWorkflow serviceAccount: projects/my-project/serviceAccounts/012345678901-compute@developer.gserviceaccount.com sourceContents: [...]