לשירות או לגרסה של Cloud Run יש זהות שירות שמשמשת כחשבון מאומת לגישה לממשקי API ממכולת המופע של Cloud Run. Google Cloud מידע נוסף על זהות שירות זמין במדריך מבוא לזהות שירות.
איך משתמשים בזהות בשירות
ב-Cloud Run, זהות השירות היא חשבון שירות שהוא גם משאב וגם חשבון משתמש.
- זהות שירות בתור משאב: כדי לצרף חשבון שירות בתור זהות השירות, לחשבון הפריסה צריכה להיות גישה למשאב של זהות השירות. פעולות מסוימות, כמו יצירה או עדכון של שירות או של עדכון, מחייבות שלחשבון הפריסה יהיו הרשאות במשאב של זהות השירות.
- זהות השירות כחשבון משתמש: כדי לגשת אל Google Cloud ממשקי API משירות או מגרסה של Cloud Run, צריך להעניק לזהות השירות את התפקידים או ההרשאות הנדרשים לפעולות שרוצים שהשירות או הגרסה יבצעו.
בקטע הבא מוסבר אילו תפקידים נדרשים כדי להעניק לחשבון הפריסה גישה למשאב של זהות השירות, ולהעניק את התפקידים או ההרשאות שנדרשים לחשבון השירות הראשי.
התפקידים הנדרשים
אתם או האדמין שלכם צריכים להקצות תפקידים והרשאות IAM לחשבון הפריסה ולזהות השירות.
לחצו כדי לראות את התפקידים הנדרשים לחשבון הפריסה
כדי לקבל את ההרשאות שנדרשות לצירוף חשבון שירות כזהות השירות בשירות או בגרסה, אתם או האדמין שלכם צריכים להקצות לחשבון הפריסה את התפקיד משתמש בחשבון שירות (roles/iam.serviceAccountUser) בחשבון השירות שמשמש כזהות השירות.
התפקיד שמוגדר מראש הזה כולל את ההרשאה iam.serviceAccounts.actAs, שנדרשת כדי לצרף חשבון שירות לשירות או לגרסה. יכול להיות שתוכלו לקבל את ההרשאה הזו גם באמצעות הגדרה של תפקידים בהתאמה אישית או שימוש בתפקידים אחרים שמוגדרים מראש.
הוראות להקצאת התפקיד הזה לחשבון הפריסה בזהות השירות מפורטות במאמר הרשאות פריסה. אם חשבון השירות נמצא בפרויקט אחר משירות Cloud Run או מהעדכון, אתם או האדמין שלכם צריכים גם להגדיר תפקיד IAM לסוכן שירות Cloud Run ולהגדיר מדיניות ארגונית. פרטים נוספים מופיעים במאמר בנושא שימוש בחשבונות שירות בפרויקטים אחרים.
לוחצים כדי לראות את התפקידים הנדרשים עבור זהות השירות.
כדי לאפשר לזהות השירות לגשת ל-API מ-Cloud Run, אתם או האדמין שלכם צריכים להעניק לזהות השירות את ההרשאות או התפקידים שנדרשים לפעולות שאתם רוצים לבצע. Google Cloud כדי לגשת לספריות לקוח ספציפיות של Cloud, אפשר לעיין במסמכי העזרה של השירות. Google Cloud Google Cloud
אם שירות או עדכון ב-Cloud Run לא ניגשים לשירותים אחרים Google Cloud , לא צריך להעניק לזהות השירות תפקידים או הרשאות, ואפשר להשתמש בחשבון השירות שמוגדר כברירת מחדל שהוקצה לפרויקט.
קבלת המלצות ליצירת חשבונות שירות ייעודיים
כשיוצרים חשבון שירות חדש במסוף Google Cloud , השלב האופציונלי 'הענקת גישה לחשבון השירות הזה לפרויקט' מיועד לכל גישה נוספת שנדרשת. לדוגמה, שירות אחד של Cloud Run יכול להפעיל שירות פרטי אחר של Cloud Run, או לגשת למסד נתונים של Cloud SQL. בשני המקרים נדרשים תפקידי IAM ספציפיים. מידע נוסף מופיע במאמר בנושא ניהול גישה.
שירות ההמלצות גם מספק באופן אוטומטי המלצות ליצירת חשבונות שירות ייעודיים עם קבוצת ההרשאות המינימלית הנדרשת.
הגדרת הזהות בשירות
אם עדיין לא יצרתם חשבון שירות, אתם יכולים ליצור חשבון שירות שמנוהל על ידי המשתמש ב-IAM או ב-Cloud Run.
כדי להגדיר את זהות השירות, משתמשים במסוף, ב-CLI של gcloud, ב-API (YAML) כשיוצרים שירות חדש או פורסים עדכון חדש, או ב-Terraform: Google Cloud
המסוף
נכנסים ל-Cloud Run במסוף Google Cloud :
בתפריט הניווט של Cloud Run, בוחרים באפשרות Services (שירותים) ולוחצים על Deploy container (פריסת קונטיינר) כדי להגדיר שירות חדש. אם אתם מגדירים שירות קיים, לוחצים על השירות ואז על עריכה ופריסה של עדכון חדש.
אם אתם מגדירים שירות חדש, ממלאים את דף ההגדרות הראשוניות של השירות ואז לוחצים על Containers, Networking, Security (מאגרי נתונים, רשתות, אבטחה) כדי להרחיב את דף הגדרות השירות.
לוחצים על הכרטיסייה אבטחה.
- לוחצים על התפריט הנפתח Service account ובוחרים חשבון שירות קיים, או לוחצים על Create a new service account אם צריך.
לוחצים על יצירה או על פריסה.
gcloud
כדי לעדכן שירות קיים כך שיהיה לו חשבון שירות חדש, משתמשים בפקודה הבאה:
gcloud run services update SERVICE --service-account SERVICE_ACCOUNT
מחליפים את מה שכתוב בשדות הבאים:
- SERVICE: השם של השירות.
- SERVICE_ACCOUNT: חשבון השירות שמשויך לזהות החדשה: הערך הזה הוא כתובת האימייל של חשבון השירות, לדוגמה,
example@myproject.iam.gserviceaccount.com.
אפשר גם להגדיר חשבון שירות במהלך הפריסה באמצעות הפקודה:
gcloud run deploy --image IMAGE_URL --service-account SERVICE_ACCOUNT
מחליפים את מה שכתוב בשדות הבאים:
- IMAGE_URL: הפניה לקובץ אימג' של קונטיינר, לדוגמה,
us-docker.pkg.dev/cloudrun/container/hello:latest. אם אתם משתמשים ב-Artifact Registry, צריך ליצור מראש את המאגר REPO_NAME. כתובת ה-URL היא בפורמטLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG. - SERVICE_ACCOUNT: חשבון השירות שמשויך לזהות החדשה: הערך הזה הוא כתובת האימייל של חשבון השירות, לדוגמה,
example@myservice.iam.gserviceaccount.com.
YAML
אם אתם יוצרים שירות חדש, דלגו על השלב הזה. כדי לעדכן שירות קיים, מורידים את הגדרות ה-YAML שלו:
gcloud run services describe SERVICE --format export > service.yaml
מעדכנים את המאפיין
serviceAccountName::apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE spec: template: spec: serviceAccountName: SERVICE_ACCOUNT
מחליפים את מה שכתוב בשדות הבאים:
- SERVICE: השם של שירות Cloud Run.
- SERVICE_ACCOUNT: חשבון השירות שמשויך לזהות החדשה. הערך הוא כתובת האימייל של חשבון השירות – לדוגמה,
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.
יוצרים או מעדכנים את השירות באמצעות הפקודה הבאה:
gcloud run services replace service.yaml
אם קיים קובץ
service.yaml, הפקודהgcloud run services replaceמשתמשת בו כברירת מחדל.
Terraform
כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.
מוסיפים את הטקסט הבא למשאבgoogle_cloud_run_v2_service בקובץ התצורה של Terraform:כדי ליצור חשבון שירות, מוסיפים את המשאב הבא לקובץ main.tf הקיים:
יוצרים או מעדכנים שירות Cloud Run וכוללים בו את חשבון השירות:
שימוש בחשבונות שירות בפרויקטים אחרים
אם אתם מגדירים חשבון שירות מ Google Cloud פרויקט אחר מהמשאב של Cloud Run, אתם צריכים לבצע את הפעולות הבאות:
אתם או האדמין שלכם צריכים להקצות את התפקיד 'משתמש בחשבון שירות' (
roles/iam.serviceAccountUser) בחשבון השירות שבו אתם משתמשים כזהות השירות.המסוף
נכנסים לדף Service accounts במסוף Google Cloud :
בוחרים את כתובת האימייל בחשבון השירות שבה אתם משתמשים כזהות השירות.
לוחצים על הכרטיסייה Principals with access (גורמים עם גישה).
לוחצים על הלחצן Grant access.
מזינים את כתובת האימייל בחשבון הפריסה שתואמת לישות המורשית שרוצים לתת לה את תפקיד האדמין או המפתח.
בתפריט הנפתח Select a role בוחרים בתפקיד Service Accounts > Service Account User.
לוחצים על Save.
gcloud
משתמשים בפקודה
gcloud iam service-accounts add-iam-policy-bindingומחליפים את המשתנים המודגשים בערכים המתאימים:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="PRINCIPAL" \ --role="roles/iam.serviceAccountUser"
מחליפים את מה שכתוב בשדות הבאים:
-
SERVICE_ACCOUNT_NAME: השם של חשבון השירות שמצרפים אליו את משאב Cloud Run. -
SERVICE_ACCOUNT_PROJECT_ID: מזהה הפרויקט שבו נמצא חשבון השירות. PRINCIPAL: חשבון הפריסה שאליו מוסיפים את הקישור, בפורמט
user|group|serviceAccount:emailאוdomain:domain– לדוגמה:user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
אתם או האדמין שלכם צריכים להעניק לסוכן השירות של משאב Cloud Run את התפקיד Service Account Token Creator (
roles/iam.serviceAccountTokenCreator) בחשבון השירות שבו אתם משתמשים כזהות השירות. סוכן השירות פועל לפי הפורמטservice-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com.המסוף
נכנסים לדף Service accounts במסוף Google Cloud :
בוחרים את כתובת האימייל בחשבון השירות שבה אתם משתמשים כזהות השירות.
לוחצים על הכרטיסייה Permissions.
לוחצים על הלחצן Grant access.
מזינים את כתובת האימייל של סוכן השירות. לדוגמה:
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com.בתפריט הנפתח Select a role בוחרים בתפקיד Service Accounts > Service Account Token Creator.
לוחצים על Save.
gcloud
משתמשים בפקודה
gcloud iam service-accounts add-iam-policy-binding:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"
מחליפים את מה שכתוב בשדות הבאים:
-
SERVICE_ACCOUNT_NAME: השם של חשבון השירות שמצרפים אליו את משאב Cloud Run. -
SERVICE_ACCOUNT_PROJECT_ID: מזהה הפרויקט שבו נמצא חשבון השירות. -
CLOUD_RUN_RESOURCE_PROJECT_NUMBER: מספר הפרויקט שבו נמצא Cloud Run.
הפקודה מדפיסה את מדיניות ההרשאה המעודכנת לחשבון השירות המנוהל על ידי המשתמש.
בפרויקט שמכיל את חשבון השירות הזה, צריך להגדיר את מדיניות הארגון
iam.disableCrossProjectServiceAccountUsageכ-false או כלא נאכפת ברמת התיקייה, או להגדיר שהיא תועבר אוטומטית מההגדרות ברמת הפרויקט. כברירת מחדל, הערך הואtrue.המסוף
נכנסים לדף מדיניות הארגון במסוף Google Cloud :
בכלי לבחירת פרויקטים, בוחרים את הארגון והפרויקט שבהם רוצים להשבית את השימוש בחשבונות שירות בין פרויקטים.
בוחרים במדיניות disable cross-project service account usage.
לוחצים על ניהול המדיניות.
בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
לוחצים על Add a rule.
בקטע אכיפה, בוחרים באפשרות השבתה.
כדי לאכוף את המדיניות, לוחצים על הגדרת מדיניות.
gcloud
בפרויקט שבו נמצא חשבון השירות, מוודאים שהמגבלה
iam.disableCrossProjectServiceAccountUsageבמדיניות הארגון לא נאכפת. האילוץ הזה נאכף כברירת מחדל.כדי להשבית את אילוץ מדיניות הארגון הזה, מריצים את הפקודה:
gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage --project=SERVICE_ACCOUNT_PROJECT_ID
מחליפים את SERVICE_ACCOUNT_PROJECT_ID במזהה הפרויקט שמכיל את חשבון השירות.
אפשר להחיל את חברות התפקיד ישירות על משאב חשבון השירות או להעביר אותה בירושה מרמות גבוהות יותר בהיררכיית המשאבים.
המאמרים הבאים
- מידע נוסף על חשבונות שירות זמין במדריכים בנושא חשבון שירות של IAM וחשבון שירות בניהול המשתמש.
- אם שירות, משימה או מאגר עובדים של Cloud Run ניגשים ל-Google APIs או לGoogle Cloud שירותים, אתם צריכים להגדיר את חשבון השירות כזהות השירות. מידע נוסף