יש שתי דרכים ליצור שירות ציבורי ב-Cloud Run:
- משביתים את בדיקת ה-IAM של Cloud Run Invoker (מומלץ).
- מקצים את תפקיד ה-IAM Cloud Run Invoker לסוג החבר
allUsers.
התפקידים הנדרשים
כדי להשבית או להפעיל מחדש את בדיקת ה-IAM של מי שמפעיל שירות, צריכות להיות לכם ההרשאות הבאות:
run.services.createrun.services.updaterun.services.setIamPolicy
ההרשאות האלה כלולות בתפקיד Cloud Run Admin (roles/run.admin). רשימה מלאה של התפקידים וההרשאות שמשויכות אליהם מופיעה במאמר תפקידי IAM ב-Cloud Run.
השבתת בדיקת ה-IAM של Cloud Run Invoker
הדרך המומלצת להפוך שירות לציבורי היא להשבית את בדיקת ההרשאות של Cloud Run Invoker ב-IAM. כברירת מחדל, Cloud Run מבצע את הבדיקה הזו. משתמשים בפתרון הזה כשהפרויקט כפוף לאילוץ של שיתוף מוגבל לדומיין במדיניות הארגון.
כדי להשבית את הבדיקה:
המסוף
במסוף Google Cloud , נכנסים לדף Cloud Run:
אם אתם מגדירים שירות חדש, לוחצים על יצירת שירות וממלאים את הדף של הגדרות השירות הראשוניות לפי הצורך.
אם אתם מגדירים שירות קיים, לוחצים על השירות ואז על הכרטיסייה אבטחה.
בוחרים באפשרות Allow public access (מתן גישה לכולם).
לוחצים על יצירה או על שמירה.
gcloud
כדי ליצור שירות חדש, משתמשים בפקודה
gcloud run deployעם הדגל--no-invoker-iam-check:gcloud run deploy SERVICE_NAME --no-invoker-iam-check
מחליפים את
SERVICE_NAMEבשם השירות.בשביל שירות קיים, משתמשים בפקודה
gcloud run services updateעם הדגל--no-invoker-iam-check:gcloud run services update SERVICE_NAME --no-invoker-iam-check
מחליפים את SERVICE_NAME בשם השירות.
YAML
כדי להציג ולהוריד את ההגדרות:
gcloud run services describe SERVICE --format export > service.yaml
מעדכנים את ההערה
run.googleapis.com/invoker-iam-disabled::apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/invoker-iam-disabled: 'true' name: SERVICE_NAME
מחליפים את SERVICE_NAME בשם של שירות Cloud Run.
מחליפים את השירות בהגדרות החדשות באמצעות הפקודה הבאה:
gcloud run services replace service.yaml
Terraform
כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.
מוסיפים את השורות הבאות למשאבgoogle_cloud_run_v2_service בתצורת Terraform:resource "google_cloud_run_v2_service" "default" {
name = "SERVICE"
location = "REGION"
invoker_iam_disabled = true
template {
containers {
image = "IMAGE_URL"
}
}
}
מחליפים את מה שכתוב בשדות הבאים:
- SERVICE: השם של שירות Cloud Run.
- REGION: האזור Google Cloud . לדוגמה,
europe-west1. - IMAGE_URL: הפניה לקובץ אימג' של קונטיינר, לדוגמה,
us-docker.pkg.dev/cloudrun/container/hello:latest. אם אתם משתמשים ב-Artifact Registry, צריך ליצור מראש את המאגר REPO_NAME. כתובת ה-URL היא בפורמטLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
כדי לוודא שהבדיקה מושבתת אחרי הפריסה, עוברים לנקודת הקצה של השירות ב-HTTPS.
הפעלה מחדש של בדיקת Cloud Run Invoker IAM
כדי להפעיל מחדש את הבדיקה:
המסוף
נכנסים לדף Services של Cloud Run במסוף Google Cloud :
לוחצים על השירות ואז על אבטחה.
בוחרים באפשרות דרישת אימות ואז באפשרות ניהול זהויות והרשאות גישה (IAM).
לוחצים על Save.
gcloud
מעדכנים את השירות באמצעות הדגל
--invoker-iam-check:gcloud run services update SERVICE_NAME --invoker-iam-check
מחליפים את
SERVICE_NAMEבשם השירות.
YAML
כדי להציג ולהוריד את ההגדרות:
gcloud run services describe SERVICE --format export > service.yaml
מעדכנים את ההערה
run.googleapis.com/invoker-iam-disabled::apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/invoker-iam-disabled: 'false' name: SERVICE_NAME
מחליפים את
SERVICE_NAMEבשם של שירות Cloud Run.
Terraform
כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.
מוסיפים את השורות הבאות למשאבgoogle_cloud_run_v2_service בתצורת Terraform:resource "google_cloud_run_v2_service" "default" {
name = "SERVICE"
location = "REGION"
invoker_iam_disabled = false
template {
containers {
image = "IMAGE_URL"
}
}
}
מחליפים את מה שכתוב בשדות הבאים:
- SERVICE: השם של שירות Cloud Run.
- REGION: האזור Google Cloud . לדוגמה,
europe-west1. - IMAGE_URL: הפניה לקובץ אימג' של קונטיינר, לדוגמה,
us-docker.pkg.dev/cloudrun/container/hello:latest. אם אתם משתמשים ב-Artifact Registry, צריך ליצור מראש את המאגר REPO_NAME. כתובת ה-URL היא בפורמטLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
כדי לוודא שהבדיקה מופעלת מחדש אחרי הפריסה, עוברים לנקודת הקצה של שירות ה-HTTPS.
הגדרת מדיניות הארגון לבדיקת הרשאות IAM להפעלת Cloud Run
אדמינים יכולים להגביל את האפשרות להשבית את בדיקת ה-IAM של הפונקציה שמפעילה את הפונקציה באמצעות האילוץ המנוהל constraints/run.managed.requireInvokerIam.
האילוץ הזה לא נאכף כברירת מחדל.
מקצים את תפקיד ה-IAM של Cloud Run Invoker לסוג החבר allUsers
כדי לאפשר גישה ציבורית לשירות, צריך להקצות את תפקיד IAM של Cloud Run Invoker לסוג החבר allUsers.
כדי להגדיר אימות בשירות Cloud Run, צריכה להיות לכם הרשאת run.services.setIamPolicy. ההרשאה הזו כלולה בתפקיד 'אדמין של Cloud Run'. רשימה מלאה של התפקידים וההרשאות שמשויכות אליהם מופיעה במאמר תפקידי IAM ב-Cloud Run.
המסוף
בשירות Cloud Run קיים:
נכנסים לדף Services של Cloud Run במסוף Google Cloud :
מימין לשירות שרוצים להפוך לציבורי, לוחצים על תיבת הסימון. לא לוחצים על השירות עצמו.
בחלונית המידע בפינה השמאלית העליונה, לוחצים על הכרטיסייה הרשאות. אם חלונית המידע לא מוצגת, יכול להיות שתצטרכו ללחוץ על Show Info Panel ואז על Permissions.
לוחצים על Add principal.
בשדה New principals, מזינים את הערך allUsers.
בתפריט Select a role (בחירת תפקיד), בוחרים בתפקיד Cloud Run Invoker (הפעלת Cloud Run).
לוחצים על Save.
תתבקשו לאשר שאתם רוצים להפוך את המשאב הזה לציבורי. לוחצים על Allow public access כדי להחיל את השינוי על הגדרות ה-IAM של השירות.
אם אתם יוצרים שירות חדש, אתם צריכים ליצור את השירות ולבחור באפשרות מתן גישה ציבורית בקטע אימות כדי שהשירות יהיה זמין לציבור. כדי להפוך שירות לפרטי, לוחצים על דרישת אימות.
gcloud
כדי להפוך שירות לנגיש לציבור, משתמשים בפקודה gcloud run services כדי להוסיף את סוג החבר המיוחד allUsers לשירות ולהעניק לו את התפקיד roles/run.invoker:
gcloud run services add-iam-policy-binding [SERVICE_NAME] \ --member="allUsers" \ --role="roles/run.invoker"
כדי שהשירות יהיה נגיש לכולם כשפורסים אותו, מריצים את הפקודה gcloud run deploy:
gcloud run deploy [SERVICE_NAME] ... --allow-unauthenticated
YAML
יוצרים קובץ בשם policy.yaml עם התוכן הבא:
bindings:
- members:
- allUsers
role: roles/run.invoker
כדי לאפשר גישה ציבורית ל-SERVICE הקיים, צריך להשתמש ב:
gcloud run services set-iam-policy SERVICE policy.yaml
Terraform
כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.
מוסיפים את השורות הבאות למשאבgoogle_cloud_run_v2_service בתצורת Terraform:כדי לעדכן את הקישור של IAM בשירות roles/run.invoker, מוסיפים את ההפניה הבאה למשאב של שירות Cloud Run:
הקישור הזה הוא סמכותי רק לתפקיד הנתון. שאר ההתאמות (bindings) של IAM במדיניות IAM של השירות נשמרות.