הגדרת בקרת גישה

בקרת גישה קובעת למי יש הרשאה לגשת לשירותים ולמשאבים בפרויקט Google Cloud . ב-App Engine, יש כמה תרחישי שימוש נפרדים להגדרת בקרת גישה:

• הענקת גישה לחברי הצוות לפרויקט Google Cloud כדי שיוכלו להגדיר שירותים ולפרוס אפליקציות.

• מתן גישה לאפליקציה לשירותי Google Cloud, כמו Cloud Storage. כל שירותי Cloud דורשים אימות והרשאה לכל קריאה ל-API, כולל קריאות מאפליקציית App Engine.

• הענקת גישה למשתמשים למשאבים ב Google Cloud פרויקט. זהו תרחיש שימוש לא נפוץ, אבל יכולים להיות מקרים שבהם האפליקציה שלכם צריכה לבקש גישה למשאב Cloud בשם משתמש. לדוגמה, יכול להיות שהאפליקציה שלכם צריכה לגשת לנתונים ששייכים למשתמשים שלכם.

בדף הזה מובאת סקירה כללית על הגדרת בקרת גישה בכל תרחיש לדוגמה.

בסקירה הכללית על ניהול זהויות והרשאות גישה (IAM) מוסבר איך פועלת בקרת הגישה ב-Google Cloud Platform.

הענקת גישה לחברי צוות

כדי לתת למפתח גישה לפרויקט ב- Google Cloud , צריך ליצור את אחד מהפריטים הבאים או את שניהם:

• חשבון משתמש, שמשויך לחשבון Google ומייצג אדם ספציפי בפרויקט.

  אפשר להשתמש בחשבון משתמש כדי לבצע אימות מהכלים הבאים:

  • מסוףGoogle Cloud
  • Google Cloud CLI
  • סביבות פיתוח משולבות (IDE) וכלי בנייה שמשתמשים ב-CLI של gcloud כדי לבדוק ולפרוס אפליקציות App Engine

• חשבון שירות, שמייצג אפליקציה או תהליך ולא אדם. מומלץ להשתמש בחשבונות שירות בתהליכים אוטומטיים של בנייה, בדיקה ופריסה, במיוחד אם כמה מפתחים יכולים להריץ את התהליכים האלה.

  אפשר להשתמש בחשבון שירות כדי לבצע אימות מהכלים הבאים:

  • ‫ה-CLI של gcloud
  • סביבות פיתוח משולבות (IDE) וכלי בנייה שמשתמשים בכלי ה-CLI של gcloud כדי לבדוק ולפרוס אפליקציות App Engine

יצירת חשבון משתמש

1. פותחים את הדף IAM במסוף Google Cloud .

   כניסה לדף IAM

2. לוחצים על Select a project, בוחרים את הפרויקט ולוחצים על Open.

3. לוחצים על הוספה.

4. מזינים כתובת אימייל.

5. בוחרים תפקידים שמעניקים גישה לתכונות של App Engine.

   אם המשתמש צריך גם גישה לשירותי ענן אחרים, בוחרים תפקידים שמעניקים גישה לשירותי ענן אחרים.

6. לוחצים על Save.

המשתמש יכול עכשיו להיכנס למסוף Google Cloud וגם לתת הרשאה ל-CLI של gcloud.

אפשר גם ליצור חשבונות משתמשים באמצעות gcloud, ה-API בארכיטקטורת REST או ספריות לקוח.

יצירת חשבון שירות

1. פותחים את הדף Service Accounts במסוף Google Cloud .

   פתיחת הדף Service Accounts

2. בוחרים את הפרויקט ולוחצים על פתיחה.

3. לוחצים על יצירת חשבון שירות.

4. מזינים שם לחשבון השירות. זה צריך להיות שם ידידותי למשתמש לתצוגה.

5. לוחצים על יצירה.

6. בוחרים תפקידים שמעניקים גישה לתכונות של App Engine.

   אם חשבון השירות צריך גם גישה לשירותי ענן אחרים, בוחרים תפקידים שמעניקים גישה לשירותי ענן אחרים.

7. לוחצים על Continue.

8. אופציונלי: מציינים חשבונות משתמשים שיכולים לנהל את חשבון השירות. אפשר גם לציין חשבונות משתמשים שיכולים להשתמש בחשבון השירות כדי לגשת באופן עקיף לכל המשאבים שלחשבון השירות יש גישה אליהם.

9. לוחצים על Save.

   מופיעה רשימה של חשבונות שירות קיימים.

10. אופציונלי: אם אתם צריכים להשתמש בחשבון השירות מחוץ ל-Google Cloud, פועלים לפי ההוראות ליצירת מפתח של חשבון שירות.

השלבים הבאים

• אם אתם משתמשים בחשבון השירות בתהליכי ה-build והפריסה האוטומטיים שלכם, אתם צריכים לתת הרשאה ל-CLI של gcloud באמצעות חשבון שירות.
• אם אתם משתמשים בחשבון השירות עם סביבת פיתוח משולבת (IDE), פועלים לפי ההוראות שסופקו על ידי סביבת הפיתוח.
• אם אתם צריכים להשתמש בזהות ייחודית לגרסה של אפליקציית App Engine כשאתם ניגשים לשירותים אחרים או מבצעים משימות, אתם יכולים לציין חשבון שירות בניהול המשתמש ב-App Engine. Google Cloud

מתן גישה לאפליקציה לשירותי ענן

כל קריאה לשירות Cloud צריכה להיות מאומתת ומורשית, כולל קריאות מאפליקציית App Engine לשירותי Cloud אחרים כמו Cloud Storage.

כברירת מחדל, שיחות מאפליקציית App Engine לשירותים באותו פרויקט מקבלות הרשאה. כך פועל התהליך של ברירת המחדל:

1. כדי ליזום קריאות לשירות Cloud, האפליקציה יוצרת אובייקט לקוח שמכיל את פרטי הכניסה ונתונים אחרים שהאפליקציה צריכה כדי ליצור אינטראקציה עם השירות. אם לא מציינים פרטי כניסה בבונה של הלקוח, הלקוח מחפש פרטי כניסה בסביבת האפליקציה.

   הנה דוגמה ליצירת לקוח ל-Cloud Storage:

   Go

   
   // implicit uses Application Default Credentials to authenticate.
   func implicit() {
   	ctx := context.Background()
   
   	// For API packages whose import path is starting with "cloud.google.com/go",
   	// such as cloud.google.com/go/storage in this case, if there are no credentials
   	// provided, the client library will look for credentials in the environment.
   	storageClient, err := storage.NewClient(ctx)
   	if err != nil {
   		log.Fatal(err)
   	}
   	defer storageClient.Close()
   
   	it := storageClient.Buckets(ctx, "project-id")
   	for {
   		bucketAttrs, err := it.Next()
   		if err == iterator.Done {
   			break
   		}
   		if err != nil {
   			log.Fatal(err)
   		}
   		fmt.Println(bucketAttrs.Name)
   	}
   
   	// For packages whose import path is starting with "google.golang.org/api",
   	// such as google.golang.org/api/cloudkms/v1, use NewService to create the client.
   	kmsService, err := cloudkms.NewService(ctx)
   	if err != nil {
   		log.Fatal(err)
   	}
   
   	_ = kmsService
   }
   

   Java

   static void authImplicit() {
     // If you don't specify credentials when constructing the client, the client library will
     // look for credentials via the environment variable GOOGLE_APPLICATION_CREDENTIALS.
     Storage storage = StorageOptions.getDefaultInstance().getService();
   
     System.out.println("Buckets:");
     Page<Bucket> buckets = storage.list();
     for (Bucket bucket : buckets.iterateAll()) {
       System.out.println(bucket.toString());
     }
   }

   Node.js

   // Imports the Google Cloud client library.
   const {Storage} = require('@google-cloud/storage');
   
   // Instantiates a client. If you don't specify credentials when constructing
   // the client, the client library will look for credentials in the
   // environment.
   const storage = new Storage();
   // Makes an authenticated API request.
   async function listBuckets() {
     try {
       const results = await storage.getBuckets();
   
       const [buckets] = results;
   
       console.log('Buckets:');
       buckets.forEach(bucket => {
         console.log(bucket.name);
       });
     } catch (err) {
       console.error('ERROR:', err);
     }
   }
   listBuckets();

   PHP

   // Imports the Cloud Storage client library.
   use Google\Cloud\Storage\StorageClient;
   
   /**
    * Authenticate to a cloud client library using a service account implicitly.
    *
    * @param string $projectId The Google project ID.
    */
   function auth_cloud_implicit($projectId)
   {
       $config = [
           'projectId' => $projectId,
       ];
   
       # If you don't specify credentials when constructing the client, the
       # client library will look for credentials in the environment.
       $storage = new StorageClient($config);
   
       # Make an authenticated API request (listing storage buckets)
       foreach ($storage->buckets() as $bucket) {
           printf('Bucket: %s' . PHP_EOL, $bucket->name());
       }
   }

   Python

   def implicit():
       from google.cloud import storage
   
       # If you don't specify credentials when constructing the client, the
       # client library will look for credentials in the environment.
       storage_client = storage.Client()
   
       # Make an authenticated API request
       buckets = list(storage_client.list_buckets())
       print(buckets)
   
   

   Ruby

   # project_id = "Your Google Cloud project ID"
   
   require "google/cloud/storage"
   
   # If you don't specify credentials when constructing the client, the client
   # library will look for credentials in the environment.
   storage = Google::Cloud::Storage.new project: project_id
   
   # Make an authenticated API request
   storage.buckets.each do |bucket|
     puts bucket.name
   end

   C#

   public object AuthImplicit(string projectId)
   {
       // If you don't specify credentials when constructing the client, the
       // client library will look for credentials in the environment.
       var credential = GoogleCredential.GetApplicationDefault();
       var storage = StorageClient.Create(credential);
       // Make an authenticated API request.
       var buckets = storage.ListBuckets(projectId);
       foreach (var bucket in buckets)
       {
           Console.WriteLine(bucket.Name);
       }
       return null;
   }
   

2. כברירת מחדל, הסביבה של האפליקציה מכילה פרטי כניסה מחשבון השירות שמוגדר כברירת מחדל ב-App Engine.

   חשבון השירות הזה נוצר על ידי Google כשיוצרים אפליקציית App Engine, והוא מקבל הרשאות מלאות לניהול ולשימוש בכל שירותי Cloud ב Google Cloud פרויקט.

כדי לשנות את ברירת המחדל של התהליך הזה, אפשר לבצע אחת מהפעולות הבאות:

• מגדירים את משתנה הסביבה GOOGLE_APPLICATION_CREDENTIALS. אם המשתנה הזה מוגדר, שירותי Cloud משתמשים בפרטי הכניסה שצוינו במשתנה במקום בחשבון השירות שמוגדר כברירת מחדל.

• מציינים פרטי כניסה כשיוצרים מופע של האובייקט Client לשירות Cloud. לדוגמה, אם האפליקציה שלכם קוראת לשירות Cloud בפרויקט אחר, יכול להיות שתצטרכו להעביר פרטי כניסה באופן ידני.

אם הגדרתם את משתנה הסביבה GOOGLE_APPLICATION_CREDENTIALS או העברתם פרטי כניסה בקוד, מומלץ לאחסן את פרטי הכניסה באחת מהדרכים הבאות:

מידע על היתרונות של כל אחת מהגישות זמין במאמר בנושא בחירת פתרון לניהול סודות.

הענקת גישה למשתמשים למשאבי Cloud

אם רוצים שהאפליקציה תקרא נתוני משתמשים משירות אחר של Google, צריך להגדיר OAuth 2.0 לאפליקציות אינטרנט. לדוגמה, אם אתם רוצים לשלוף נתונים של משתמש מ-Google Drive ולהעביר אותם לאפליקציה שלכם, אתם יכולים להשתמש ב-OAuth 2.0 לאפליקציות של שרתי אינטרנט כדי לשתף נתונים ספציפיים תוך שמירה על הפרטיות של נתונים אחרים, כמו שמות משתמשים וסיסמאות.

הענקת הרשאה ברמת הדומיין ב-Google Workspace

אם יש לכם דומיין Google Workspace (לשעבר G Suite), אדמין בדומיין יכול לאשר לאפליקציה לגשת לנתוני משתמשים בשם המשתמשים בדומיין Google Workspace. לדוגמה, אפליקציה שמשתמשת ב-Google Calendar API כדי להוסיף אירועים ליומנים של כל המשתמשים בדומיין Google Workspace תשתמש בחשבון שירות כדי לגשת ל-Google Calendar API בשם המשתמשים.

הרשאת חשבון שירות לגשת לנתונים בשם משתמשים בדומיין נקראת לפעמים 'הענקת הרשאות גישה ברמת הדומיין' לחשבון שירות. השיטה הזו עדיין משתמשת ב-OAuth 2.0, ודורשת מאדמין בדומיין Google Workspace להעניק לחשבון השירות הרשאה ברמת הדומיין.

ציון חשבון שירות

ב-App Engine אפשר להשתמש בשני סוגים של חשבונות שירות:

• חשבון שירות לכל גרסה: חשבון שירות שמוגדר כזהות של גרסה ספציפית של השירות שפרסתם. כשפורסים גרסה קיימת או גרסה חדשה, אפשר לציין חשבון שירות שישמש כזהות של הגרסה הזו. לדוגמה, אם גרסה מסוימת דורשת הרשאות ששונות מחשבון השירות שמוגדר כברירת מחדל ברמת האפליקציה, אפשר להקצות חשבון שירות שספציפי לגרסה הזו. מידע נוסף זמין במאמר הגדרת חשבונות שירות של App Engine.

• חשבון שירות שמוגדר כברירת מחדל ברמת האפליקציה: אם לא מגדירים חשבון שירות לכל גרסה, Google Cloud משתמשים בחשבון השירות שמוגדר כברירת מחדל ברמת האפליקציה לכל השירותים שמוצבים. כשיוצרים את האפליקציה, מקצים לה חשבון שירות שמוגדר כברירת מחדל ברמת האפליקציה. מידע נוסף זמין במאמר הקצאת חשבון שירות שמוגדר כברירת מחדל ברמת האפליקציה.

  אם לא מקצים חשבון שירות שמוגדר כברירת מחדל ברמת האפליקציה, מערכתGoogle Cloud משתמשת בחשבון השירות שמשמש כברירת מחדל של App Engine (PROJECT_ID@appspot.gserviceaccount.com) שנוצר באופן אוטומטי.

  בהתאם להגדרות של מדיניות הארגון, יכול להיות שחשבון השירות שמוגדר כברירת מחדל יקבל אוטומטית את התפקיד 'עריכה' בפרויקט. אנחנו ממליצים מאוד להשבית את הענקת התפקיד האוטומטית על ידי החלת האילוץ iam.automaticIamGrantsForDefaultServiceAccounts של מדיניות הארגון. אם יצרתם את הארגון אחרי 3 במאי 2024, האילוץ הזה נאכף כברירת מחדל.

  אם משביתים את הענקת התפקיד האוטומטית, צריך לקבוע אילו תפקידים להעניק לחשבונות השירות שמוגדרים כברירת מחדל, ואז להעניק את התפקידים האלה בעצמכם.

  אם לחשבון השירות שמוגדר כברירת מחדל כבר יש את התפקיד Editor, מומלץ להחליף את התפקיד הזה בתפקידים עם פחות הרשאות.כדי לשנות את התפקידים בחשבון השירות בצורה בטוחה, כדאי להשתמש בסימולטור המדיניות כדי לראות את ההשפעה של השינוי, ואז להעניק ולבטל את התפקידים המתאימים.