אימות להפעלה

במסמך הזה מוסבר איך להפעיל פונקציות שנוצרו באמצעות Cloud Functions v2 API, למשל באמצעות gcloud functions,‏ API בארכיטקטורת REST או Terraform. מידע מפורט ודוגמאות זמינים במדריכים בנושא אימות בקשות ב-Cloud Run. הנושאים שמפורטים במדריכים של Cloud Run רלוונטיים גם לפונקציות שנוצרו באמצעות Cloud Functions v2 API, כי פונקציות v2 משתמשות גם בתפקיד Cloud Run Invoker‏ (roles/run.invoker).

כדי להפעיל פונקציה מאומתת, הגורם המוסמך הבסיסי צריך לעמוד בדרישות הבאות:

• יש לכם הרשאה להפעיל את הפונקציה.
• מספק אסימון מזהה כשהוא מפעיל את הפונקציה.

פונקציות Cloud Run תומכות בשני סוגים שונים של זהויות, שנקראות גם גורמים ראשיים:

• חשבונות שירות: אלה חשבונות מיוחדים שמשמשים כזהות של ישות שאינה אדם, כמו פונקציה, אפליקציה או מכונה וירטואלית. הם מאפשרים לכם לאמת את הזהות של ישויות שאינן אנשים.
• חשבונות משתמשים: החשבונות האלה מייצגים אנשים, כבעלי חשבונות Google פרטיים או כחלק מישות בשליטת Google, כמו קבוצת Google.

בסקירה הכללית על IAM תוכלו לקרוא מידע נוסף על מושגי IAM בסיסיים.

כדי להפעיל פונקציה מאומתת, לחשבון המשתמש צריכה להיות הרשאת הפעלה ב-IAM:

• run.routes.invoke. בדרך כלל זה נעשה באמצעות התפקיד Cloud Run Invoker. צריך להקצות את ההרשאה הזו למשאב של שירות Cloud Run.

כדי להעניק את ההרשאות האלה, צריך לפעול לפי השלבים במדריך אימות שירות לשירות של Cloud Run.

כדי לקבל הרשאה ליצור, לעדכן או לבצע פעולות ניהול אחרות בפונקציה, לחשבון המשתמש צריכים להיות תפקידים מתאימים. תפקידים כוללים הרשאות שמגדירות את הפעולות שהגורם המורשה יכול לבצע. מידע נוסף זמין במאמר שימוש ב-IAM כדי לאשר גישה.

אפשר להפעיל פונקציות מבוססות-אירועים רק על ידי מקור האירוע שהן רשומות אליו. עם זאת, אפשר להפעיל פונקציות HTTP באמצעות סוגים שונים של זהויות שמגיעים ממקומות שונים, למשל על ידי מפתח שבודק את הפונקציה או על ידי שירות אחר שמשתמש בפונקציה. כדי לבצע אימות, הזהויות צריכות לספק טוקן ID. גם לחשבון שבו אתם משתמשים צריכות להיות ההרשאות המתאימות.