Se stai creando una nuova funzione, consulta la guida rapida della console su Cloud Run.

Esegui l'autenticazione per le chiamate

Questo documento fornisce informazioni supplementari su come richiamare le funzioni create utilizzando l'API Cloud Functions v2, ad esempio utilizzando gcloud functions, l'API REST o Terraform. Per informazioni dettagliate ed esempi, consulta le guide su come autenticare le richieste di Cloud Run. Gli argomenti trattati nelle guide di Cloud Run si applicano anche alle funzioni create utilizzando l'API Cloud Functions v2, poiché le funzioni v2 utilizzano anche il ruolo Cloud Run Invoker (roles/run.invoker).

Per richiamare una funzione autenticata, l'entità sottostante deve soddisfare i seguenti requisiti:

Disporre dell'autorizzazione per richiamare la funzione.
Fornire un token ID quando richiama la funzione.

Cloud Run Functions supporta due diversi tipi di identità, dette anche entità:

Service account: si tratta di account speciali che fungono da identità non corrispondenti a una persona, ad esempio una funzione, un'applicazione o una VM. Ti offrono un modo per autenticare questi tipi di identità.
Account utente: questi account rappresentano persone, sia come proprietari di Account Google individuali sia come parte di un'entità controllata da Google, come un gruppo Google.

Consulta la panoramica di IAM per saperne di più sui concetti di base di IAM.

Per richiamare una funzione autenticata, l'entità deve disporre dell'autorizzazione IAM invoker:

run.routes.invoke. Di solito, questo avviene tramite il ruolo Cloud Run Invoker. Questa autorizzazione deve essere assegnata alla risorsa del servizio Cloud Run.

Per concedere queste autorizzazioni, segui i passaggi descritti nella guida su come eseguire l'autenticazione tra servizi di Cloud Run.

Per disporre dell'autorizzazione per creare, aggiornare o eseguire altre azioni amministrative su una funzione, l'entità deve avere un ruolo appropriato. I ruoli includono autorizzazioni che definiscono le azioni che l'entità può eseguire. Per saperne di più, consulta Utilizzo di IAM per autorizzare l'accesso.

Le funzioni basate su eventi possono essere richiamate solo dall'origine evento a cui sono iscritte. Le funzioni HTTP, tuttavia, possono essere richiamate da diversi tipi di identità provenienti da luoghi diversi, ad esempio da uno sviluppatore che testa la funzione o da un altro servizio che la utilizza. Le identità devono fornire un token ID per l'autenticazione. Anche l'account in uso deve disporre delle autorizzazioni appropriate.