Alur kerja menggunakan akun layanan untuk memberi alur kerja akses ke resource Google Cloud . Akun layanan adalah akun khusus yang berfungsi sebagai identitas non-orang, seperti fungsi, aplikasi, atau VM. Mereka memberi Anda cara untuk mengautentikasi non-orang ini. Akun layanan dapat dianggap sebagai identitas dan resource.
Jika menganggap akun layanan sebagai identitas, Anda dapat memberikan peran ke akun layanan, sehingga akun layanan dapat mengakses resource (seperti alur kerja).
Jika menganggap akun layanan sebagai resource, Anda dapat memberikan peran kepada pengguna lain untuk mengakses atau mengelola akun layanan tersebut.
Akun layanan diidentifikasi oleh alamat emailnya, yang bersifat unik untuk akun tersebut.
Untuk mengetahui informasi selengkapnya tentang cara menyiapkan autentikasi dengan aplikasi produksi, lihat Melakukan autentikasi sebagai akun layanan.
Akun layanan default
Setiap alur kerja dikaitkan dengan akun layanan Identity and Access Management (IAM) saat alur kerja dibuat. Jika Anda tidak menentukan akun layanan selama pembuatan alur kerja, alur kerja akan menggunakan akun layanan Compute Engine default untuk identitasnya. Anda dapat memverifikasi akun layanan terkait alur kerja. Dalam dokumen ini, lihat Memverifikasi akun layanan terkait alur kerja.
Sebaiknya gunakan akun layanan default hanya untuk pengujian dan pengembangan. Untuk lingkungan produksi, sebaiknya buat akun layanan baru dan beri akun tersebut satu atau beberapa peran IAM yang berisi izin minimum yang diperlukan untuk mengelola alur kerja.
Satu-satunya peran yang diperlukan oleh akun layanan Anda adalah peran yang diperlukan untuk mengakses resource yang diatur oleh alur kerja Anda. Untuk informasi selengkapnya, dalam dokumen ini, lihat Izin akun layanan.
Izin akun layanan
Karena akun layanan adalah identitas, Anda dapat mengizinkan akun layanan mengakses
resource dalam project Anda dengan memberinya peran, seperti yang Anda lakukan untuk
akun utama lainnya. Misalnya, jika Anda ingin mengizinkan alur kerja mengirim log ke
Cloud Logging, pastikan akun layanan yang menjalankan alur kerja telah
diberi peran yang menyertakan izin logging.logEntries.create
(misalnya, peran Logs Writer
). Secara umum, peran yang diperlukan oleh akun layanan Anda bergantung pada resource yang Anda orkestrasi dengan alur kerja Anda. Untuk menentukan peran yang diperlukan, tinjau dokumentasi produk untuk resource yang Anda orkestrasi, atau pilih peran bawaan.
Perhatikan bahwa akun layanan alur kerja tidak memerlukan peran workflows.invoker
, kecuali jika alur kerja memanggil dirinya sendiri atau alur kerja lain (yaitu, membuat eksekusi alur kerja baru). Untuk informasi selengkapnya, lihat
Memanggil Alur Kerja.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran ke akun utama, termasuk akun layanan, lihat Mengelola akses ke project, folder, dan organisasi.
Melampirkan akun layanan ke resource
Untuk membuat resource dan melampirkan akun layanan, Anda memerlukan izin untuk
membuat resource tersebut dan melampirkan akun layanan ke resource.
Izin untuk melampirkan akun layanan ke resource disediakan oleh peran apa pun
yang menyertakan izin iam.serviceAccounts.actAs
.
Untuk mengetahui informasi selengkapnya, lihat Peran untuk autentikasi akun layanan.
Memanggil fungsi Cloud Run (generasi ke-2)
Di fungsi Cloud Run (generasi ke-2), izin pemanggilan tersedia dengan mengelola layanan Cloud Run yang mendasarinya. Jika alur kerja Anda memanggil
layanan fungsi Cloud Run (generasi ke-2), Anda tidak perlu memberikan
peran Cloud Run functions Invoker (roles/cloudfunctions.invoker
) ke akun layanan pemanggil. Sebagai gantinya, Anda harus memberikan peran Cloud Run Invoker (roles/run.invoker
).
Untuk mengetahui informasi selengkapnya, lihat Perbandingan versi fungsi Cloud Run.
Men-deploy alur kerja dengan akun layanan kustom
Anda dapat membuat akun layanan yang dikelola pengguna sendiri untuk memberi Anda fleksibilitas yang lebih besar dalam mengontrol akses ke alur kerja Anda.
Buat akun layanan Anda dan catat namanya.
Berikan peran yang sesuai kepada akun layanan, berdasarkan resource yang harus diakses alur kerja untuk melakukan tugasnya.
Pastikan semua akun utama yang men-deploy alur kerja dapat melampirkan akun layanan ke resource. Jika Anda yang membuat akun layanan, Anda akan otomatis diberi izin ini. Untuk mengetahui informasi selengkapnya, lihat Peran untuk autentikasi akun layanan.
Untuk mendapatkan izin yang diperlukan untuk melampirkan akun layanan ke resource, minta administrator untuk memberi Anda peran IAM Service Account User (
roles/iam.serviceAccountUser
) di project atau akun layanan Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.Peran yang telah ditentukan ini berisi izin
iam.serviceAccounts.actAs
, yang diperlukan untuk melampirkan akun layanan ke resource.Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Berikan peran tersebut pada project:
gcloud projects add-iam-policy-binding WORKFLOWS_PROJECT_ID \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'
Atau, berikan peran di akun layanan:
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'
Ganti kode berikut:
WORKFLOWS_PROJECT_ID
: project ID Google Cloud Anda yang berisi resource alur kerjaPRINCIPAL
: ID untuk deployer alur kerja dalam formatuser|group|serviceAccount:email
ataudomain:domain
. Contoh:user:test-user@gmail.com
group:admins@example.com
serviceAccount:test123@example.domain.com
domain:example.domain.com
SERVICE_ACCOUNT_RESOURCE_NAME
: nama resource lengkap akun layanan. Contoh:projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com
Dengan keterangan:
SERVICE_ACCOUNT_PROJECT_ID
adalah ID project Google Cloud yang berisi akun layanan.SERVICE_ACCOUNT_NAME
adalah nama akun layanan.
Deploy alur kerja Anda menggunakan akun layanan khusus.
Men-deploy alur kerja dengan akun layanan lintas project
Secara default, Anda tidak dapat membuat akun layanan pada satu project dan melampirkannya ke resource pada project lain. Petunjuk berikut menunjukkan cara melampirkan akun layanan di satu project ke alur kerja di project lain. Kemudian, Anda dapat menggunakan akun layanan di berbagai project untuk men-deploy alur kerja.
Jika akun layanan dan resource alur kerja berada di project yang berbeda, dari project tempat akun layanan berada, selesaikan langkah-langkah berikut:
Di konsol Google Cloud , buka halaman Organization policies:
Periksa kebijakan organisasi untuk project dan pastikan bahwa batasan boolean
iam.disableCrossProjectServiceAccountUsage
tidak diterapkan untuk project. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan akun layanan untuk dilampirkan di seluruh project.Buat akun layanan Anda dan catat namanya.
Berikan peran yang sesuai kepada akun layanan, berdasarkan resource yang harus diakses alur kerja untuk melakukan tugasnya.
Berikan peran Pembuat Token Akun Layanan (
roles/iam.serviceAccountTokenCreator
) kepada agen layanan Alur Kerja. Hal ini memungkinkan agen layanan mengelola akses lintas project untuk akun layanan. Agen layanan adalah identitas layanan Google Cloud tertentu untuk project tertentu. Untuk informasi selengkapnya, lihat Agen layanan.Konsol
Di konsol Google Cloud , buka halaman Workflows:
Klik
Buat untuk membuat alur kerja atau pilih nama alur kerja yang ingin Anda perbarui.Di daftar Service account, klik Switch project.
Pilih akun layanan dari project lain.
Jika diminta, berikan peran
roles/iam.serviceAccountTokenCreator
kepada agen layanan Alur Kerja.
gcloud
Berikan peran
roles/iam.serviceAccountTokenCreator
ke Agen layanan alur kerja:gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \ --member='serviceAccount:service-WORKFLOWS_PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com' \ --role='roles/iam.serviceAccountTokenCreator'
Ganti kode berikut:
SERVICE_ACCOUNT_RESOURCE_NAME
: nama resource lengkap akun layanan. Contoh:projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com
Dengan keterangan:
SERVICE_ACCOUNT_PROJECT_ID
adalah ID projectGoogle Cloud yang berisi akun layanan.SERVICE_ACCOUNT_NAME
adalah nama akun layanan.
WORKFLOWS_PROJECT_NUMBER
: nomor project Google Cloud yang berisi resource alur kerja.
Pastikan semua akun utama yang men-deploy alur kerja dapat melampirkan akun layanan ke resource. Jika Anda yang membuat akun layanan, Anda akan otomatis diberi izin ini. Untuk mengetahui informasi selengkapnya, lihat Peran untuk autentikasi akun layanan.
Untuk mendapatkan izin yang diperlukan untuk melampirkan akun layanan ke resource, minta administrator untuk memberi Anda peran IAM Service Account User (
roles/iam.serviceAccountUser
) di project atau akun layanan Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.Peran yang telah ditentukan ini berisi izin
iam.serviceAccounts.actAs
, yang diperlukan untuk melampirkan akun layanan ke resource.Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Konsol
Di konsol Google Cloud , buka halaman Workflows:
Klik
Buat untuk membuat alur kerja atau pilih nama alur kerja yang ingin Anda perbarui.Di daftar Service account, klik Switch project.
Pilih akun layanan dari project lain.
Jika diminta, berikan peran
roles/iam.serviceAccountUser
pada project.
gcloud
Berikan peran tersebut pada project:
gcloud projects add-iam-policy-binding WORKFLOWS_PROJECT_ID \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'
Atau, berikan peran di akun layanan:
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'
Ganti kode berikut:
WORKFLOWS_PROJECT_ID
: project ID Google Cloud Anda yang berisi resource alur kerjaPRINCIPAL
: ID untuk deployer alur kerja dalam formatuser|group|serviceAccount:email
ataudomain:domain
. Sebagai contoh:user:test-user@gmail.com
group:admins@example.com
serviceAccount:test123@example.domain.com
domain:example.domain.com
SERVICE_ACCOUNT_RESOURCE_NAME
: nama resource lengkap akun layanan. Contoh:projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com
Dengan keterangan:
SERVICE_ACCOUNT_PROJECT_ID
adalah ID projectGoogle Cloud yang berisi akun layanan.SERVICE_ACCOUNT_NAME
adalah nama akun layanan.
Deploy alur kerja Anda menggunakan akun layanan lintas project.
Memverifikasi akun layanan yang terkait dengan alur kerja
Anda dapat memverifikasi akun layanan mana yang terkait dengan alur kerja tertentu.
Konsol
Di konsol Google Cloud , buka halaman Workflows:
Di halaman Alur kerja, klik nama alur kerja.
Di halaman Workflow Details, klik tab Details.
Akun layanan terkait alur kerja akan ditampilkan.
gcloud
Buka terminal.
Masukkan perintah berikut:
gcloud workflows describe MY_WORKFLOW
Ganti
MY_WORKFLOW
dengan nama alur kerja Anda.Deskripsi alur kerja lengkap termasuk akun layanan terkait akan ditampilkan. Contoh:
createTime: '2020-06-05T23:45:34.154213774Z' name: projects/myProject/locations/us-central1/workflows/myWorkflow serviceAccount: projects/my-project/serviceAccounts/012345678901-compute@developer.gserviceaccount.com sourceContents: [...]