הגדרת זהות שירות למאגרי עובדים

בדף הזה מוסבר איך להגדיר את זהות השירות ששולטת בגישה ממאגרי העובדים של Cloud Run אל Google Cloud ממשקי API, ואיך לצפות בה.

למאגר עובדים של Cloud Run יש זהות שירות שמשמשת כחשבון מאומת לגישה ל-API מתוך מאגר המכולות של מופע Cloud Run. Google Cloud מידע נוסף על זהות שירות זמין במדריך מבוא לזהות שירות.

איך משתמשים בזהות בשירות

ב-Cloud Run, זהות השירות היא חשבון שירות שהוא גם משאב וגם חשבון משתמש.

  • זהות שירות בתור משאב: כדי לצרף חשבון שירות בתור זהות השירות, לחשבון הפריסה צריכה להיות גישה למשאב של זהות השירות. פעולות מסוימות, כמו יצירה או עדכון של מאגר עובדים, מחייבות שלחשבון הפריסה יהיו הרשאות במשאב של זהות השירות.
  • זהות השירות כחשבון משתמש: כדי לגשת אל Google Cloud ממשקי API ממאגר עובדים של Cloud Run, צריך להעניק לזהות השירות את התפקידים או ההרשאות הנדרשים לפעולות שרוצים שמאגר העובדים יבצע.

בקטע הבא מוסבר אילו תפקידים נדרשים כדי להעניק לחשבון הפריסה גישה למשאב של זהות השירות, ולהעניק את התפקידים או ההרשאות שנדרשים לחשבון השירות הראשי.

התפקידים הנדרשים

אתם או האדמין שלכם צריכים להקצות תפקידים והרשאות IAM לחשבון הפריסה ולזהות השירות.

לחצו כדי לראות את התפקידים הנדרשים לחשבון הפריסה

כדי לקבל את ההרשאות שנדרשות לצירוף חשבון שירות כזהות השירות במאגר העובדים, אתם או האדמין שלכם צריכים להקצות לחשבון הפריסה את התפקיד משתמש בחשבון שירות (roles/iam.serviceAccountUser) בחשבון השירות שמשמש כזהות השירות.

התפקיד המוגדר מראש הזה כולל את ההרשאה iam.serviceAccounts.actAs, שנדרשת כדי לצרף חשבון שירות למאגר העובדים. יכול להיות שתוכלו לקבל את ההרשאה הזו גם באמצעות הגדרה של תפקידים בהתאמה אישית או שימוש בתפקידים אחרים שמוגדרים מראש.

הוראות להקצאת התפקיד הזה לחשבון הפריסה בזהות השירות מפורטות במאמר הרשאות פריסה. אם חשבון השירות נמצא בפרויקט אחר ממאגר העובדים של Cloud Run, אתם או האדמין שלכם צריכים גם להגדיר תפקיד IAM לסוכן השירות של Cloud Run ולהגדיר מדיניות ארגונית. פרטים נוספים מופיעים במאמר בנושא שימוש בחשבונות שירות בפרויקטים אחרים.

לוחצים כדי לראות את התפקידים הנדרשים עבור זהות השירות.

כדי לאפשר לזהות השירות לגשת ל-API מ-Cloud Run, אתם או האדמין שלכם צריכים להעניק לזהות השירות את ההרשאות או התפקידים שנדרשים לפעולות שאתם רוצים לבצע. Google Cloud כדי לגשת לספריות לקוח ספציפיות של Cloud, אפשר לעיין במסמכי העזרה של השירות. Google Cloud Google Cloud

אם מאגר העובדים של Cloud Run לא ניגש לשירותים אחרים של Google Cloud , לא צריך להעניק לזהות השירות תפקידים או הרשאות, ואפשר להשתמש בחשבון השירות שמוגדר כברירת מחדל שהוקצה לפרויקט.

קבלת המלצות ליצירת חשבונות שירות ייעודיים

כשיוצרים חשבון שירות חדש במסוף Google Cloud , השלב האופציונלי 'הענקת גישה לחשבון השירות הזה לפרויקט' מיועד לכל גישה נוספת שנדרשת. לדוגמה, שירות אחד של Cloud Run יכול להפעיל שירות פרטי אחר של Cloud Run, או לגשת למסד נתונים של Cloud SQL. בשני המקרים נדרשים תפקידי IAM ספציפיים. מידע נוסף מופיע במאמר בנושא ניהול גישה.

שירות ההמלצות גם מספק באופן אוטומטי המלצות ליצירת חשבונות שירות ייעודיים עם קבוצת ההרשאות המינימלית הנדרשת.

הגדרת הזהות בשירות

אם עדיין לא יצרתם חשבון שירות, אתם יכולים ליצור חשבון שירות שמנוהל על ידי המשתמש ב-IAM או ב-Cloud Run.

כדי להגדיר זהות שירות, משתמשים בGoogle Cloud מסוף, ב-CLI של gcloud, ב-YAML או ב-Terraform:

המסוף

  1. נכנסים ל-Cloud Run במסוף Google Cloud :

    כניסה ל-Cloud Run

  2. בתפריט, בוחרים באפשרות מאגרי עובדים ולוחצים על פריסת קונטיינר כדי להגדיר מאגר עובדים חדש. אם אתם מגדירים מאגר עובדים קיים, לוחצים על מאגר העובדים ואז על Edit and deploy new revision (עריכה ופריסה של עדכון חדש).

  3. אם אתם מגדירים מאגר עובדים חדש, ממלאים את הדף הראשוני של מאגר העובדים ולוחצים על Containers, Networking, Security (מאגרי קונטיינרים, רשתות, אבטחה) כדי להרחיב את דף ההגדרות של מאגרי העובדים.

  4. לוחצים על הכרטיסייה אבטחה.

    תמונה

    • לוחצים על Create a new service account או על התפריט הנפתח Service account ובוחרים חשבון שירות קיים, אם רלוונטי.
  5. לוחצים על יצירה או על פריסה.

gcloud

אם עדיין לא יצרתם חשבון שירות, אתם צריכים ליצור חשבון שירות שמנוהל על ידי משתמש ב-IAM.

כדי להגדיר חשבון שירות, אפשר לעדכן מאגר עובדים קיים באמצעות הפקודה הבאה:

gcloud run worker-pools update WORKER_POOL --service-account SERVICE_ACCOUNT

מחליפים את מה שכתוב בשדות הבאים:

  • WORKER_POOL: השם של השירות.
  • SERVICE_ACCOUNT: חשבון השירות שמשויך לחשבון השירות שמשויך לזהות החדשה. הערך הזה הוא כתובת האימייל של חשבון השירות, בפורמט SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com, כאשר SERVICE_ACCOUNT_NAME הוא שם חשבון השירות ו-PROJECT_ID הוא מזהה הפרויקט. אפשר גם להגדיר חשבון שירות במהלך הפריסה באמצעות הפקודה:
gcloud run worker-pools deploy WORKER_POOL --image IMAGE_URL --service-account SERVICE_ACCOUNT

מחליפים את מה שכתוב בשדות הבאים:

  • WORKER_POOL: השם של מאגר העובדים.
  • IMAGE_URL: הפניה לקובץ האימג' של הקונטיינר שמכיל את מאגר העובדים, כמו us-docker.pkg.dev/cloudrun/container/worker-pool:latest.
  • SERVICE_ACCOUNT: חשבון השירות שמשויך לזהות החדשה: הערך הזה הוא כתובת האימייל של חשבון השירות, בפורמט SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.

YAML

  1. אם אתם יוצרים מאגר חדש של עובדים, דלגו על השלב הזה. אם אתם מעדכנים מאגר עובדים קיים, מורידים את הגדרת ה-YAML שלו:

    gcloud run worker-pools describe WORKER_POOL --format export > worker-pool.yaml
  2. בדוגמה הבאה מופיעה הגדרת ה-YAML:

    apiVersion: run.googleapis.com/v1
    kind: WorkerPool
    metadata:
      name: WORKER_POOL
    spec:
      template:
        spec:
          serviceAccountName: SERVICE_ACCOUNT

    מחליפים את מה שכתוב בשדות הבאים:

    • WORKER_POOL: השם של מאגר העובדים של Cloud Run.
    • SERVICE_ACCOUNT: חשבון השירות שמשויך לזהות החדשה. הערך הוא כתובת האימייל של חשבון השירות – לדוגמה, SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.
  3. יוצרים או מעדכנים את מאגר העובדים באמצעות הפקודה הבאה:

    gcloud run worker-pools replace worker-pool.yaml

    אם קיים קובץ worker-pool.yaml, הפקודה gcloud run worker-pools replace משתמשת בו כברירת מחדל.

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

resource "google_cloud_run_v2_worker_pool" "default" {
  name     = "WORKER_POOL"
  location = "REGION"

  template {
    containers {
      image = "IMAGE_URL"
    }
  }
  service_account = "SERVICE_ACCOUNT"
}

מחליפים את מה שכתוב בשדות הבאים:

  • WORKER_POOL: השם של מאגר העובדים.
  • REGION: האזור Google Cloud . לדוגמה, europe-west1.
  • IMAGE_URL: הפניה לקובץ האימג' של הקונטיינר שמכיל את מאגר העובדים, כמו us-docker.pkg.dev/cloudrun/container/worker-pool:latest.
  • SERVICE_ACCOUNT: חשבון השירות שמשויך לחשבון השירות שמשויך לזהות החדשה. הערך הזה הוא כתובת האימייל של חשבון השירות, בפורמט SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com, כאשר SERVICE_ACCOUNT_NAME הוא השם של חשבון השירות ו-PROJECT_ID הוא מזהה הפרויקט.

שימוש בחשבונות שירות בפרויקטים אחרים

אם אתם מגדירים חשבון שירות מ Google Cloud פרויקט אחר מהמשאב של Cloud Run, אתם צריכים לבצע את הפעולות הבאות:

  1. אתם או האדמין שלכם צריכים להקצות את התפקיד 'משתמש בחשבון שירות' (roles/iam.serviceAccountUser) בחשבון השירות שבו אתם משתמשים כזהות השירות.

    המסוף

    1. נכנסים לדף Service accounts במסוף Google Cloud :

      כניסה לדף Service accounts

    2. בוחרים את כתובת האימייל בחשבון השירות שבה אתם משתמשים כזהות השירות.

    3. לוחצים על הכרטיסייה Principals with access (גורמים עם גישה).

    4. לוחצים על הלחצן Grant access.

    5. מזינים את כתובת האימייל בחשבון הפריסה שתואמת לישות המורשית שרוצים לתת לה את תפקיד האדמין או המפתח.

    6. בתפריט הנפתח Select a role בוחרים בתפקיד Service Accounts > Service Account User.

    7. לוחצים על Save.

    gcloud

    משתמשים בפקודה gcloud iam service-accounts add-iam-policy-binding ומחליפים את המשתנים המודגשים בערכים המתאימים:

    gcloud iam service-accounts add-iam-policy-binding \
        SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \
        --member="PRINCIPAL" \
        --role="roles/iam.serviceAccountUser"

    מחליפים את מה שכתוב בשדות הבאים:

    • SERVICE_ACCOUNT_NAME: השם של חשבון השירות שמצרפים אליו את משאב Cloud Run.
    • SERVICE_ACCOUNT_PROJECT_ID: מזהה הפרויקט שבו נמצא חשבון השירות.
    • PRINCIPAL: חשבון הפריסה שאליו מוסיפים את הקישור, בפורמט user|group|serviceAccount:email או domain:domain – לדוגמה:

      • user:test-user@gmail.com
      • group:admins@example.com
      • serviceAccount:test123@example.domain.com
      • domain:example.domain.com
  2. אתם או האדמין שלכם צריכים להעניק לסוכן השירות של משאב Cloud Run את התפקיד Service Account Token Creator (roles/iam.serviceAccountTokenCreator) בחשבון השירות שבו אתם משתמשים כזהות השירות. סוכן השירות פועל לפי הפורמט service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com.

    המסוף

    1. נכנסים לדף Service accounts במסוף Google Cloud :

      כניסה לדף Service accounts

    2. בוחרים את כתובת האימייל בחשבון השירות שבה אתם משתמשים כזהות השירות.

    3. לוחצים על הכרטיסייה Permissions.

    4. לוחצים על הלחצן Grant access.

    5. מזינים את כתובת האימייל של סוכן השירות. לדוגמה: service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com.

    6. בתפריט הנפתח Select a role בוחרים בתפקיד Service Accounts > Service Account Token Creator.

    7. לוחצים על Save.

    gcloud

    משתמשים בפקודה gcloud iam service-accounts add-iam-policy-binding:

    gcloud iam service-accounts add-iam-policy-binding \
        SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \
        --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \
        --role="roles/iam.serviceAccountTokenCreator"

    מחליפים את מה שכתוב בשדות הבאים:

    • SERVICE_ACCOUNT_NAME: השם של חשבון השירות שמצרפים אליו את משאב Cloud Run.
    • SERVICE_ACCOUNT_PROJECT_ID: מזהה הפרויקט שבו נמצא חשבון השירות.
    • CLOUD_RUN_RESOURCE_PROJECT_NUMBER: מספר הפרויקט שבו נמצא Cloud Run.

    הפקודה מדפיסה את מדיניות ההרשאה המעודכנת לחשבון השירות המנוהל על ידי המשתמש.

  3. בפרויקט שמכיל את חשבון השירות הזה, צריך להגדיר את מדיניות הארגון iam.disableCrossProjectServiceAccountUsage כ-false או כלא נאכפת ברמת התיקייה, או להגדיר שהיא תועבר אוטומטית מההגדרות ברמת הפרויקט. כברירת מחדל, הערך הוא true.

    המסוף

    1. נכנסים לדף מדיניות הארגון במסוף Google Cloud :

      מעבר למדיניות הארגון

    2. בכלי לבחירת פרויקטים, בוחרים את הארגון והפרויקט שבהם רוצים להשבית את השימוש בחשבונות שירות בין פרויקטים.

    3. בוחרים במדיניות disable cross-project service account usage.

    4. לוחצים על ניהול המדיניות.

    5. בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

    6. לוחצים על Add a rule.

    7. בקטע אכיפה, בוחרים באפשרות השבתה.

    8. כדי לאכוף את המדיניות, לוחצים על הגדרת מדיניות.

    gcloud

    בפרויקט שבו נמצא חשבון השירות, מוודאים שהמגבלה iam.disableCrossProjectServiceAccountUsage במדיניות הארגון לא נאכפת. האילוץ הזה נאכף כברירת מחדל.

    כדי להשבית את אילוץ מדיניות הארגון הזה, מריצים את הפקודה:

    gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage
        --project=SERVICE_ACCOUNT_PROJECT_ID

    מחליפים את SERVICE_ACCOUNT_PROJECT_ID במזהה הפרויקט שמכיל את חשבון השירות.

אפשר להחיל את חברות התפקיד ישירות על משאב חשבון השירות או להעביר אותה בירושה מרמות גבוהות יותר בהיררכיית המשאבים.

הצגת ההגדרה של חשבון השירות למאגר העובדים

  1. נכנסים ל-Cloud Run במסוף Google Cloud :

    כניסה ל-Cloud Run

  2. לוחצים על Worker pools כדי להציג את רשימת מאגרי העובדים שנפרסו.

  3. לוחצים על מאגר העובדים שרוצים לבדוק כדי להציג את חלונית הפרטים שלו.

  4. לוחצים על הכרטיסייה Security (אבטחה) כדי להציג את פרטי האבטחה של מאגר העובדים, כולל חשבונות שירות.

המאמרים הבאים