Workflows fournit plusieurs fonctionnalités de sécurité que vous pouvez utiliser. Cette page décrit quelques bonnes pratiques de sécurité à garder à l'esprit lorsque vous utilisez Workflows pour éviter d'exposer involontairement vos ressources à des failles.
Suivez les bonnes pratiques générales de mise en réseau et de sécurité.
Créez un compte de service et accordez-lui uniquement les rôles IAM (Identity and Access Management) contenant les autorisations minimales requises par votre workflow. Vous ne devez pas utiliser le compte de service par défaut, car il se voit automatiquement attribuer le rôle de base hautement privilégié d'éditeur, qui inclut un grand nombre d'autorisations.
Créez votre workflow à l'aide de Terraform afin de pouvoir stocker la configuration de votre environnement sous forme de code dans un dépôt.
Utilisez des clés de chiffrement gérées par le client pour protéger votre workflow et les données associées au repos à l'aide d'une clé de chiffrement à laquelle vous seul avez accès.
Configurez un périmètre de service avec VPC Service Controls pour limiter les risques d'exfiltration des données.
Utilisez Secret Manager pour sécuriser et stocker les données sensibles telles que les clés API, les mots de passe et les certificats. Vous pouvez utiliser un connecteur de workflows pour accéder à Secret Manager dans un workflow et simplifier l'intégration.
Utilisez Cloud Tasks pour gérer les taux de distribution et Cloud Scheduler pour exécuter des workflows selon un calendrier récurrent. En automatisant et en paramétrant le déploiement et l'exécution de vos workflows, vous vous assurez de pouvoir exécuter vos services de manière répétée et cohérente, et éliminez également les incohérences entre les environnements, telles que les tests, la préproduction et la production. Notez que Workflows n'assure pas le traitement de type "exactement une fois" des requêtes en double depuis Cloud Tasks.