Workflows 提供了多项您可以使用的安全功能。本页介绍了在使用工作流时应注意的一些安全最佳实践,以免无意中使您的资源暴露于漏洞。
创建新的服务账号,并仅向其授予包含工作流所需最低权限的 Identity and Access Management (IAM) 角色。您不应使用默认服务账号,因为它会自动获得高权限的 Editor 基本角色,该角色包含大量权限。
使用 Terraform 创建工作流,以便将环境的配置作为代码存储在代码库中。
使用客户管理的加密密钥,以便使用只有您可以访问的加密密钥保护您的工作流和关联的静态数据。
使用 VPC Service Controls 设置服务边界,以降低数据渗漏风险。
使用 Secret Manager 安全地存储 API 密钥、密码和证书等敏感数据。您可以使用 Workflows 连接器在工作流中访问 Secret Manager,并简化集成流程。
使用 Cloud Tasks 管理传送速率,并使用 Cloud Scheduler 按周期性时间表执行工作流。通过自动化和参数化工作流的部署和执行,您可以确保能够重复且一致地运行服务,还可以消除测试、预演和生产等环境之间的不一致性。请注意,Workflows 无法确保对来自 Cloud Tasks 的重复请求进行精确一次处理。