Workflows usa cuentas de servicio para otorgar a los flujos de trabajo acceso a los recursos de Google Cloud. Las cuentas de servicio son cuentas especiales que funcionan como la identidad de una persona que no es una persona, como una función, una aplicación o una VM. Te brindan una manera de autenticar a estas personas que no son personas. Una cuenta de servicio puede considerarse una identidad y un recurso.
Cuando una cuenta de servicio es como una identidad, puedes otorgarle una función a una cuenta de servicio, lo que le permite acceder a un recurso (como un flujo de trabajo).
Cuando una cuenta de servicio es un recurso, puedes otorgar funciones a otros usuarios para acceder o administrar esa cuenta de servicio.
Una cuenta de servicio se identifica por su dirección de correo electrónico, que es única a la cuenta.
Para obtener más información sobre cómo configurar la autenticación con una aplicación de producción, consulta Autentícate como una cuenta de servicio.
Cuenta de servicio predeterminada
Cada flujo de trabajo se asocia a una cuenta de servicio de Identity and Access Management (IAM) en el momento en que se crea el flujo de trabajo. Si no especificas una cuenta de servicio durante la creación del flujo de trabajo, el flujo de trabajo usa la cuenta de servicio predeterminada de Compute Engine para su identidad. Puedes verificar una cuenta de servicio asociada a un flujo de trabajo. En este documento, consulta Verifica la cuenta de servicio asociada de un flujo de trabajo.
Recomendamos usar la cuenta de servicio predeterminada solo para pruebas y desarrollo.
Permisos de las cuentas de servicio
Debido a que las cuentas de servicio son identidades, puedes permitir que una cuenta de servicio acceda a los recursos de tu proyecto si le otorgas una función, al igual que lo harías con cualquier otra principal. Por ejemplo, si deseas permitir que tu flujo de trabajo envíe registros a Cloud Logging, asegúrate de que a la cuenta de servicio que ejecuta el flujo de trabajo se le haya otorgado una función que incluya el permiso logging.logEntries.create (por ejemplo, el rol Logs Writer).
Ten en cuenta que la cuenta de servicio de flujo de trabajo no requiere la función workflows.invoker, a menos que el flujo de trabajo se invoque a sí mismo o a otros flujos de trabajo (es decir, cree ejecuciones de flujo de trabajo nuevas). Para obtener más información, consulta Cómo invocar Workflows.
Para obtener más información sobre cómo otorgar roles a las principales, incluidas las cuentas de servicio, consulta Administra el acceso a los proyectos, las carpetas y las organizaciones.
Conecta cuentas de servicio a recursos
Para crear un recurso y conectar una cuenta de servicio, necesitas permisos a fin de crear ese recurso y conectar la cuenta de servicio al recurso.
El permiso para conectar la cuenta de servicio a un recurso lo proporciona cualquier función que incluya el permiso iam.serviceAccounts.actAs.
Si deseas obtener más información, consulta Roles para la autenticación de cuentas de servicio.
Invoca Cloud Functions (2nd gen)
En Cloud Functions (2nd gen), los permisos de invocación están disponibles mediante la administración
del servicio subyacente de Cloud Run. Si tu flujo de trabajo invoca un
servicio de Cloud Function (2ª gen..), no es necesario que le otorgues a la
cuenta de servicio del llamador la función de Invocador de Cloud Functions
(roles/cloudfunctions.invoker). En su lugar, debes otorgar la función de Invocador de Cloud Run (roles/run.invoker).
Para obtener más información, consulta Comparación de versiones de Cloud Functions.
Implementa un flujo de trabajo con una cuenta de servicio personalizada
Puedes crear tu propia cuenta de servicio administrada por el usuario para obtener mayor flexibilidad en el control del acceso a tu flujo de trabajo.
Crea una cuenta de servicio y anota su nombre:
Otorga a la cuenta de servicio las funciones adecuadas, según los recursos a los que debe acceder el flujo de trabajo para realizar su trabajo.
Asegúrate de que todas las principales que implementan flujos de trabajo tengan la capacidad de conectar la cuenta de servicio a los recursos. Si creaste la cuenta de servicio, se te otorga este permiso de forma automática. Si deseas obtener más información, consulta Funciones para la autenticación de cuentas de servicio.
Si quieres obtener el permiso que necesitas para conectar una cuenta de servicio a un recurso, pídele a tu administrador que te otorgue el rol de IAM Usuario de cuenta de servicio (
roles/iam.serviceAccountUser) en tu proyecto o cuenta de servicio. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.Este rol predefinido contiene el permiso
iam.serviceAccounts.actAs, que se necesita para conectar una cuenta de servicio a un recurso.Es posible que también puedas obtener este permiso con funciones personalizadas o con otras funciones predefinidas.
Otorga el rol en el proyecto:
gcloud projects add-iam-policy-binding WORKFLOWS_PROJECT_ID \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'O bien, otorga el rol en la cuenta de servicio:
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'Reemplaza lo siguiente:
WORKFLOWS_PROJECT_ID: El ID del proyecto de Google Cloud que contiene los recursos del flujo de trabajoPRINCIPAL: Es un identificador para el implementador del flujo de trabajo en formatouser|group|serviceAccount:emailodomain:domain. Por ejemplo:user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
SERVICE_ACCOUNT_RESOURCE_NAME: Es el nombre completo del recurso de la cuenta de servicio. Por ejemplo:projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.comAquí:
SERVICE_ACCOUNT_PROJECT_IDes el ID del proyecto de Google Cloud que contiene la cuenta de servicio.SERVICE_ACCOUNT_NAMEes el nombre de la cuenta de servicio.
Implementa tu flujo de trabajo con la cuenta de servicio personalizada.
Implementa un flujo de trabajo con una cuenta de servicio entre proyectos
De forma predeterminada, no puedes crear una cuenta de servicio en un proyecto y conectarla a un recurso en otro proyecto. En las siguientes instrucciones, se muestra cómo conectar una cuenta de servicio en un proyecto a un flujo de trabajo en otro proyecto. Luego, puedes usar la cuenta de servicio en diferentes proyectos para implementar un flujo de trabajo.
Si la cuenta de servicio y los recursos del flujo de trabajo están en proyectos diferentes, como el proyecto en el que se encuentra la cuenta de servicio, completa los siguientes pasos:
En la consola de Google Cloud, ve a la página Políticas de la organización:
Ir a Políticas de la organización
Verifica la política de la organización del proyecto y asegúrate de que la restricción booleana
iam.disableCrossProjectServiceAccountUsageno se aplique al proyecto. Para obtener más información, consulta Habilita cuentas de servicio para que se conecten en todos los proyectos.Crea una cuenta de servicio y anota su nombre:
Otorga a la cuenta de servicio las funciones adecuadas, según los recursos a los que debe acceder el flujo de trabajo para realizar su trabajo.
Otorga la función de creador de tokens de cuentas de servicio (
roles/iam.serviceAccountTokenCreator) al agente de servicio de Workflows. Esto permite que el agente de servicio administre el acceso entre proyectos para la cuenta de servicio. Un agente de servicio es la identidad de un servicio de Google Cloud determinado para un proyecto en particular. Para obtener más información, consulta Agentes de servicio.Console
En la consola de Google Cloud, ve a la página Flujos de trabajo:
Haz clic en Crear para crear un flujo de trabajo o selecciona el nombre del flujo de trabajo que deseas actualizar.
En la lista Cuenta de servicio, haz clic en Cambiar proyecto.
Selecciona una cuenta de servicio de un proyecto diferente.
Si se te solicita, otorga la función
roles/iam.serviceAccountTokenCreatoral agente de servicio de Workflows.
gcloud
Otorga la función
roles/iam.serviceAccountTokenCreatoral agente de servicio de Workflows:gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \ --member='serviceAccount:service-WORKFLOWS_PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com' \ --role='roles/iam.serviceAccountTokenCreator'Reemplaza lo siguiente:
SERVICE_ACCOUNT_RESOURCE_NAME: El nombre completo del recurso de la cuenta de servicio. Por ejemplo:projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.comAquí:
SERVICE_ACCOUNT_PROJECT_IDes el ID del proyecto de Google Cloud que contiene la cuenta de servicio.SERVICE_ACCOUNT_NAMEes el nombre de la cuenta de servicio.
WORKFLOWS_PROJECT_NUMBER: Es el número de proyecto de Google Cloud que contiene los recursos del flujo de trabajo.
Asegúrate de que todas las principales que implementan flujos de trabajo tengan la capacidad de conectar la cuenta de servicio a los recursos. Si creaste la cuenta de servicio, se te otorga este permiso de forma automática. Si deseas obtener más información, consulta Funciones para la autenticación de cuentas de servicio.
Si quieres obtener el permiso que necesitas para conectar una cuenta de servicio a un recurso, pídele a tu administrador que te otorgue el rol de IAM Usuario de cuenta de servicio (
roles/iam.serviceAccountUser) en tu proyecto o cuenta de servicio. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.Este rol predefinido contiene el permiso
iam.serviceAccounts.actAs, que se necesita para conectar una cuenta de servicio a un recurso.Es posible que también puedas obtener este permiso con funciones personalizadas o con otras funciones predefinidas.
Console
En la consola de Google Cloud, ve a la página Flujos de trabajo:
Haz clic en Crear para crear un flujo de trabajo o selecciona el nombre del flujo de trabajo que deseas actualizar.
En la lista Cuenta de servicio, haz clic en Cambiar proyecto.
Selecciona una cuenta de servicio de un proyecto diferente.
Si se te solicita, otorga el rol
roles/iam.serviceAccountUseren el proyecto.
gcloud
Otorga el rol en el proyecto:
gcloud projects add-iam-policy-binding WORKFLOWS_PROJECT_ID \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'O bien, otorga el rol en la cuenta de servicio:
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'Reemplaza lo siguiente:
WORKFLOWS_PROJECT_ID: El ID del proyecto de Google Cloud que contiene los recursos del flujo de trabajoPRINCIPAL: Es un identificador para el implementador de flujo de trabajo en formatouser|group|serviceAccount:emailodomain:domain. Por ejemplo:user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
SERVICE_ACCOUNT_RESOURCE_NAME: El nombre completo del recurso de la cuenta de servicio. Por ejemplo:projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.comAquí:
SERVICE_ACCOUNT_PROJECT_IDes el ID del proyecto de Google Cloud que contiene la cuenta de servicio.SERVICE_ACCOUNT_NAMEes el nombre de la cuenta de servicio.
Implementa tu flujo de trabajo con la cuenta de servicio entre proyectos.
Verifica la cuenta de servicio asociada con un flujo de trabajo
Puedes verificar qué cuenta de servicio está asociada con un flujo de trabajo en particular.
Console
En la consola de Google Cloud, ve a la página Workflows.
En la página Flujos de trabajo, haz clic en el nombre del flujo de trabajo.
En la página Workflow Details, haz clic en la pestaña Details.
Se muestra la cuenta de servicio asociada del flujo de trabajo.
gcloud
Abre una terminal.
Ingresa el siguiente comando:
gcloud workflows describe MY_WORKFLOW
Reemplaza
MY_WORKFLOWpor el nombre de tu flujo de trabajo.Se muestra una descripción completa del flujo de trabajo que incluye la cuenta de servicio asociada. Por ejemplo:
createTime: '2020-06-05T23:45:34.154213774Z' name: projects/myProject/locations/us-central1/workflows/myWorkflow serviceAccount: projects/my-project/serviceAccounts/012345678901-compute@developer.gserviceaccount.com sourceContents: [...]