IAM zur Zugriffssteuerung verwenden

In Workflows wird Identity and Access Management (IAM) verwendet, um zu steuern, welche authentifizierten Nutzer und Dienstkonten welche Aktionen ausführen können.

Bevor Sie mit der Authentifizierung und Autorisierung des Zugriffs auf Ihre Workflow-Ressourcen beginnen, sollten Sie die grundlegenden Konzepte von IAM kennen.

Auf dieser Seite werden die Berechtigungen beschrieben, die für den Zugriff auf Workflows erforderlich sind Ressourcen, einschließlich der Möglichkeit, Workflowausführungen aufzurufen.

Informationen zum Erteilen von Berechtigungen für Workflows, um auf andere Dienste zuzugreifen, Weitere Informationen finden Sie unter Workflowberechtigungen für den Zugriff auf Google Cloud-Ressourcen gewähren.

Zugriffssteuerung

Unabhängig davon, wie Sie die Authentifizierung implementieren, ist es wichtig, Zugriffssteuerung und die verfügbaren Workflows-Rollen. Eine Rolle ist eine Sammlung von Berechtigungen, die Zugriff auf Ressourcen in Google Cloud gewähren. Gewähren Sie einem Dienstkonto beim Erstellen einer Produktionsanwendung nur die Rollen mit den entsprechenden APIs, Features oder Funktionen von Google Cloud interagieren, Ressourcen.

Weitere Informationen zu den verfügbaren Workflow-Rollen finden Sie unter Workflows-Rollen und -Berechtigungen:

Workflows aufrufen

Ein Dienstkonto ist sowohl eine Identität als auch eine Ressource, die IAM-Richtlinien akzeptiert. Daher können Sie dem Dienstkonto Rollen zuweisen und andere Hauptkonten übernehmen die Identität des Dienstkontos, indem sie ihnen eine Rolle im Dienstkonto oder auf einer der übergeordneten Ressourcen des Dienstkontos.

Sie können einem Dienstkonto beispielsweise die Rolle workflows.invoker gewähren. Rolle, damit das Konto die Berechtigung zum Auslösen der Workflowausführung hat. Ich könnte dann zulassen, dass ein Hauptkonto die Identität Ihres Dienstkontos übernimmt oder als Ihr Dienstkonto fungiert. Beachten Sie, dass das Workflow-Dienstkonto die workflows.invoker nicht benötigt. Rolle, es sei denn, der Workflow ruft sich selbst oder andere Workflows auf.

Weitere Informationen zur Übernahme der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos.

Um dem Dienstkonto des Dienstes durch Aufrufen von Workflows die Rolle „Workflow-Aufrufer“ (roles/workflows.invoker), damit der Dienst zum Ausführen von Workflows und zum Verwalten der Ausführungen berechtigt sind, gehen Sie so vor:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf:
    Zur Seite „Dienstkonten“

  2. Wählen Sie ein Projekt aus und klicken Sie auf Dienstkonto erstellen.

  3. Geben Sie im Feld Name des Dienstkontos einen Namen ein, z. B. sa-name.

  4. Klicken Sie auf Erstellen und fortfahren.

  5. Wählen Sie in der Liste Rolle auswählen die Option Workflows aus. > Workflows-Aufrufer.

  6. Klicken Sie auf Fertig.

gcloud

  1. Öffnen Sie ein Terminalfenster.

  2. Geben Sie den folgenden Befehl ein:

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
   --role roles/workflows.invoker

    Ersetzen Sie Folgendes:

    • PROJECT_ID ist die ID Ihres Google Cloud-Projekts.
    • SERVICE_ACCOUNT_NAME ist der Name des Dienstkontos.