Workflows 提供了多种安全功能供您使用。本页面介绍了在使用 Workflows 时需要注意的一些安全性最佳实践,以避免在无意中将资源暴露给漏洞。
创建新的服务帐号,并仅向其授予包含您的工作流所需最低权限的 Identity and Access Management (IAM) 角色。您不应使用默认服务帐号,因为它会自动获得高特权的 Editor 基本角色,该角色包含大量权限。
使用 Terraform 创建工作流,以便将环境配置作为代码存储在代码库中。
使用客户管理的加密密钥,以便使用只有您可以访问的加密密钥保护您的工作流和关联的静态数据。
使用 VPC Service Controls 设置服务边界,以降低数据渗漏风险。
使用 Secret Manager 保护和存储敏感数据,例如 API 密钥、密码和证书。您可以使用 Workflows 连接器在工作流中访问 Secret Manager,并简化集成。
使用 Cloud Tasks 管理传送速率,并使用 Cloud Scheduler 定期执行工作流。通过对工作流的部署和执行进行自动化和参数化,您可以确保您可以重复且一致地运行服务,并消除测试、预演和生产环境等环境之间的不一致。请注意,Workflows 不确保对来自 Cloud Tasks 的重复请求只进行一次处理。