Configurare l'identità del servizio per i servizi

Un servizio o una revisione di Cloud Run ha un'identità di servizio che viene utilizzata come account autenticato per accedere alle Google Cloud API dal tuo container dell'istanza Cloud Run. Per saperne di più sull'identità del servizio, consulta la guida Introduzione all'identità del servizio.

Come viene utilizzata l'identità del servizio

In Cloud Run, l'identità del servizio è un account di servizio che è sia una risorsa sia un'entità.

  • Identità del servizio come risorsa: per collegare un account di servizio come identità del servizio, l'account del deployer deve avere accesso alla risorsa dell'identità del servizio. Alcune operazioni, come la creazione o l'aggiornamento di un servizio o di una revisione, richiedono che l'account del deployer disponga delle autorizzazioni per la risorsa dell'identità del servizio.
  • Identità del servizio come entità: per accedere alle Google Cloud API da un servizio o una revisione di Cloud Run, devi concedere all' identità del servizio i ruoli o le autorizzazioni richiesti per le operazioni che vuoi che il servizio o la revisione esegua.

La sezione successiva illustra i ruoli richiesti per concedere all'account del deployer l'accesso alla risorsa dell'identità del servizio e per concedere i ruoli o le autorizzazioni di cui ha bisogno l'entità del account di servizio.

Ruoli obbligatori

Tu o il tuo amministratore dovete concedere ruoli e autorizzazioni IAM per l'account del deployer e l'identità del servizio.

Fai clic per visualizzare i ruoli richiesti per l'account del deployer

Per ottenere le autorizzazioni necessarie per collegare un service account come identità del servizio al servizio o alla revisione, tu o il tuo amministratore dovete concedere all'account del deployer il ruolo Utente account di servizio (roles/iam.serviceAccountUser) sul service account utilizzato come identità del servizio.

Questo ruolo predefinito contiene l'autorizzazione iam.serviceAccounts.actAs necessaria per collegare un account di servizio al servizio o alla revisione. Potresti anche ottenere questa autorizzazione configurando ruoli personalizzati o utilizzando altri ruoli predefiniti.

Per istruzioni su come concedere all'account del deployer questo ruolo sull'identità del servizio, consulta Autorizzazioni di deployment. Se il account di servizio si trova in un progetto diverso dal servizio o dalla revisione di Cloud Run, tu o il tuo amministratore dovete anche configurare un ruolo IAM per l'agente di servizio di Cloud Run e configurare una policy dell'organizzazione. Per maggiori dettagli, consulta Utilizzare i service account in altri progetti.

Fai clic per visualizzare i ruoli richiesti per l'identità del servizio

Per consentire all'identità del servizio di accedere alle Google Cloud API da Cloud Run, tu o il tuo amministratore dovete concedere all'identità del servizio le autorizzazioni o i ruoli richiesti dalle operazioni che vuoi eseguire. Per accedere a librerie client Cloud specifiche, consulta la Google Cloud documentazione del Google Cloud servizio.

Se un servizio o una revisione di Cloud Run non accede ad altri Google Cloud servizi, non devi concedere all'identità del servizio alcun ruolo o autorizzazione e puoi utilizzare il service account predefinito assegnato al progetto.

Ricevi consigli per creare service account dedicati

Quando crei un nuovo account di servizio dalla Google Cloud console, il passaggio facoltativo "Concedi a questo account di servizio l'accesso al progetto" riguarda qualsiasi accesso aggiuntivo richiesto. Ad esempio, un servizio Cloud Run potrebbe richiamare un altro servizio Cloud Run privato, oppure accedere a un database Cloud SQL, entrambi richiedono ruoli IAM specifici. Per ulteriori informazioni, consulta la documentazione sulla gestione dell'accesso.

Il motore per suggerimenti fornisce automaticamente anche consigli per creare service account dedicati con il set minimo di autorizzazioni richieste.

Configurare l'identità del servizio

Se non hai ancora creato un account di servizio, puoi crearne uno gestito dall'utente in IAM o in Cloud Run.

Per configurare l'identità del servizio, utilizza la Google Cloud console, gcloud CLI, l'API (YAML) quando crei un nuovo servizio o esegui il deployment di una nuova revisione oppure Terraform:

Console

  1. Nella Google Cloud console, vai a Cloud Run:

    Vai a Cloud Run

  2. Seleziona Servizi dal menu di navigazione di Cloud Run e fai clic su Esegui il deployment del container per configurare un nuovo servizio. Se stai configurando un servizio esistente, fai clic sul servizio, poi su Modifica ed esegui il deployment di una nuova revisione.

  3. Se stai configurando un nuovo servizio, compila la pagina delle impostazioni iniziali del servizio, poi fai clic su Container, networking, sicurezza per espandere la pagina di configurazione del servizio.

  4. Fai clic sulla scheda Sicurezza.

    immagine

    • Fai clic sul menu a discesa Service account e seleziona un account di servizio esistente oppure fai clic su Crea un nuovo service account, se applicabile.

  5. Fai clic su Crea o Esegui il deployment.

gcloud

Puoi aggiornare un servizio esistente in modo che abbia un nuovo account di servizio utilizzando il seguente comando:

gcloud run services update SERVICE --service-account SERVICE_ACCOUNT

Sostituisci quanto segue:

  • SERVICE: il nome del tuo servizio.
  • SERVICE_ACCOUNT: il account di servizio associato alla nuova identità. Questo valore è l'indirizzo email del account di servizio, ad esempio example@myproject.iam.gserviceaccount.com.

Puoi anche impostare un account di servizio durante il deployment utilizzando il comando:

gcloud run deploy --image IMAGE_URL --service-account SERVICE_ACCOUNT

Sostituisci quanto segue:

  • IMAGE_URL: un riferimento all'immagine container, ad esempio, us-docker.pkg.dev/cloudrun/container/hello:latest. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL segue il formato di LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
  • SERVICE_ACCOUNT: il account di servizio associato alla nuova identità. Questo valore è l'indirizzo email del account di servizio, ad esempio example@myservice.iam.gserviceaccount.com.

YAML

  1. Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:

    gcloud run services describe SERVICE --format export > service.yaml

  2. Aggiorna l'attributo serviceAccountName::

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    spec:
      serviceAccountName: SERVICE_ACCOUNT

    Sostituisci quanto segue:

    • SERVICE: il nome del tuo servizio Cloud Run.
    • SERVICE_ACCOUNT: il account di servizio associato a la nuova identità. Questo valore è l'indirizzo email del service account, ad esempio, SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.

  3. Crea o aggiorna il servizio utilizzando il seguente comando:

    gcloud run services replace service.yaml

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Aggiungi quanto segue a una google_cloud_run_v2_service risorsa nella configurazione Terraform:

Per creare un account di servizio, aggiungi la seguente risorsa al file main.tf esistente:

resource "google_service_account" "cloudrun_service_identity" {
  account_id = "my-service-account"
}

Crea o aggiorna un servizio Cloud Run e includi il tuo account di servizio:

resource "google_cloud_run_v2_service" "default" {
  name     = "id-service"
  location = "us-central1"

  deletion_protection = false # set to "true" in production

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello"
    }
    service_account = google_service_account.cloudrun_service_identity.email
  }
}

Utilizzare i service account in altri progetti

Se configuri un account di servizio da un progetto diverso dalla risorsa Cloud Run, procedi nel seguente modo: Google Cloud

  1. Tu o il tuo amministratore dovete concedere il ruolo Utente account di servizio (roles/iam.serviceAccountUser) sul service account che utilizzi come identità del servizio.

    Console

    1. Vai alla pagina Service account della Google Cloud console:

      Vai ad Account di servizio

    2. Seleziona l'indirizzo email del account di servizio che utilizzi come identità del servizio.

    3. Fai clic sulla scheda Entità con accesso.

    4. Fai clic sul pulsante Concedi accesso.

    5. Inserisci l'indirizzo email dell'account del deployer che corrisponde all'entità a cui stai concedendo il ruolo Amministratore o Sviluppatore.

    6. Nel menu a discesa Seleziona un ruolo, seleziona il ruolo Service account > Utente account di servizio.

    7. Fai clic su Salva.

    gcloud

    Utilizza il comando gcloud iam service-accounts add-iam-policy-binding, sostituendo le variabili evidenziate con i valori appropriati:

    gcloud iam service-accounts add-iam-policy-binding \
    SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \
    --member="PRINCIPAL" \
    --role="roles/iam.serviceAccountUser"

    Sostituisci quanto segue:

    • SERVICE_ACCOUNT_NAME: il nome del account di servizio a cui stai collegando la risorsa Cloud Run
    • SERVICE_ACCOUNT_PROJECT_ID: l'ID progetto in cui si trova il account di servizio

    • PRINCIPAL: l'account del deployer per cui stai aggiungendo l' associazione, utilizzando il formato user|group|serviceAccount:email o domain:domain, ad esempio:

      • user:test-user@gmail.com
      • group:admins@example.com
      • serviceAccount:test123@example.domain.com
      • domain:example.domain.com

  2. Tu o il tuo amministratore dovete concedere all'agente di servizio della risorsa Cloud Run il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) sul service account che utilizzi come identità del servizio. L'agente di servizio segue il formato di service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com.

    Console

    1. Vai alla pagina Service account della Google Cloud console:

      Vai ad Account di servizio

    2. Seleziona l'indirizzo email del account di servizio che utilizzi come identità del servizio.

    3. Fai clic sulla scheda Autorizzazioni.

    4. Fai clic sul pulsante Concedi accesso.

    5. Inserisci l'indirizzo email del service agent. Ad esempio: service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com.

    6. Nel menu a discesa Seleziona un ruolo, seleziona il ruolo Service account > Creatore token account di servizio.

    7. Fai clic su Salva.

    gcloud

    Utilizza il comando gcloud iam service-accounts add-iam-policy-binding:

    gcloud iam service-accounts add-iam-policy-binding \
    SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \
    --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \
    --role="roles/iam.serviceAccountTokenCreator"

    Sostituisci quanto segue:

    • SERVICE_ACCOUNT_NAME: il nome del account di servizio a cui stai collegando la risorsa Cloud Run
    • SERVICE_ACCOUNT_PROJECT_ID: l'ID progetto in cui si trova il account di servizio
    • CLOUD_RUN_RESOURCE_PROJECT_NUMBER: il numero del progetto in cui si trova Cloud Run

    Il comando stampa la policy di autorizzazione aggiornata per il service account gestito dall'utente.

  3. Il progetto contenente questo account di servizio richiede che la policy dell'organizzazione iam.disableCrossProjectServiceAccountUsage sia impostata su false o non applicata a livello di cartella o ereditata dalle impostazioni a livello di progetto. Per impostazione predefinita, è impostata su true.

    Console

    1. Vai alla pagina Policy dell'organizzazione nella Google Cloud console:

      Vai a Policy dell'organizzazione

    2. Nel selettore di progetti, seleziona l'organizzazione e il progetto per cui vuoi disabilitare l'utilizzo account di servizio tra i progetti.

    3. Seleziona la policy Disabilita l'utilizzo account di servizio tra i progetti.

    4. Fai clic su Gestisci policy.

    5. In Origine policy, seleziona Override della policy del parent.

    6. Fai clic su Aggiungi una regola.

    7. In Applicazione, seleziona Disattivata.

    8. Per applicare la policy, fai clic su Imposta policy.

    gcloud

    Nel progetto che contiene il account di servizio, assicurati che il vincolo della policy dell'organizzazione iam.disableCrossProjectServiceAccountUsage non sia applicato. Questo vincolo è applicato per impostazione predefinita.

    Per disabilitare questo vincolo della policy dell'organizzazione, esegui:

    gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage
    --project=SERVICE_ACCOUNT_PROJECT_ID

    Sostituisci SERVICE_ACCOUNT_PROJECT_ID con l'ID progetto che contiene il account di servizio.

Puoi applicare le appartenenze ai ruoli direttamente alla risorsa del account di servizio o ereditare dai livelli superiori nella gerarchia delle risorse.

Passaggi successivi