Workflows 提供多种 安全功能。本页介绍了在使用工作流时应注意的一些安全最佳实践,以免无意中使您的资源暴露于漏洞。
创建新的服务账号,并仅向其授予包含工作流所需最低权限的 Identity and Access Management (IAM) 角色。您不应使用默认服务账号,因为 系统会自动向它授予具有较高权限的 Editor 基本角色, 包含大量权限
使用 Terraform 创建工作流 以便将环境配置作为代码存储在代码库中。
使用客户管理的加密密钥,以便 我们使用加密密钥对工作流和关联的静态数据进行保护, 只有您能访问
使用 VPC Service Controls 设置服务边界 来降低数据渗漏风险
使用 Secret Manager 保护和存储敏感数据 例如 API 密钥、密码和证书您可以使用 用于访问 Secret Manager 的 Workflows 连接器 并为您简化集成过程。
使用 Cloud Tasks 管理传送速率 并使用 Cloud Scheduler 定期执行工作流。 通过对工作流的部署和执行自动执行和参数化, 您应确保您可以重复且一致地运行服务,并且 还可以消除测试、预演、 和生产环境。请注意,Workflows 并不能确保 处理来自 Cloud Tasks 的重复请求。