הגדרת זהות שירות למאגרי עובדים

בדף הזה מוסבר איך להגדיר את זהות השירות ששולטת בגישה ממאגרי העובדים של Cloud Run אל Google Cloud ממשקי API, ואיך לצפות בה.

למאגר עובדים של Cloud Run יש זהות שירות שמשמשת כחשבון מאומת לגישה ל-APIs ממכולת המופע של Cloud Run. Google Cloud מידע נוסף על זהות שירות זמין במדריך מבוא לזהות שירות.

איך משתמשים בזהות בשירות

ב-Cloud Run, זהות השירות היא חשבון שירות שהוא גם משאב וגם חשבון משתמש.

  • זהות שירות בתור משאב: כדי לצרף חשבון שירות בתור זהות השירות, לחשבון הפריסה צריכה להיות גישה למשאב של זהות השירות. פעולות מסוימות, כמו יצירה או עדכון של מאגר עובדים, מחייבות שלחשבון הפריסה יהיו הרשאות במשאב של זהות השירות.
  • זהות השירות כחשבון משתמש: כדי לגשת אל Google Cloud ממשקי API ממאגר עובדים של Cloud Run, צריך להעניק לזהות השירות את התפקידים או ההרשאות הנדרשים לפעולות שרוצים שמאגר העובדים יבצע.

בקטע הבא מוסבר אילו תפקידים נדרשים כדי להעניק לחשבון הפריסה גישה למשאב של זהות השירות, ולהעניק את התפקידים או ההרשאות שנדרשים לחשבון הראשי של חשבון השירות.

התפקידים הנדרשים

אתם או האדמין שלכם צריכים להקצות תפקידים והרשאות IAM לחשבון הפריסה ולזהות השירות.

לוחצים כדי לראות את התפקידים הנדרשים לחשבון הפריסה

כדי לקבל את ההרשאות שנדרשות לצירוף חשבון שירות כזהות השירות במאגר העובדים, אתם או האדמין שלכם צריכים להקצות לחשבון הפריסה את התפקיד משתמש בחשבון שירות (roles/iam.serviceAccountUser) בחשבון השירות שמשמש כזהות השירות.

התפקיד המוגדר מראש הזה כולל את ההרשאה iam.serviceAccounts.actAs, שנדרשת כדי לצרף חשבון שירות למאגר העובדים. יכול להיות שתוכלו לקבל את ההרשאה הזו גם באמצעות הגדרה של תפקידים בהתאמה אישית או שימוש בתפקידים אחרים שמוגדרים מראש.

הוראות להקצאת התפקיד הזה לחשבון הפריסה בזהות השירות מפורטות במאמר הרשאות פריסה. אם חשבון השירות נמצא בפרויקט אחר ממאגר העובדים של Cloud Run, אתם או האדמין שלכם צריכים גם להגדיר תפקיד IAM לסוכן השירות של Cloud Run ולהגדיר מדיניות ארגונית. פרטים נוספים מופיעים במאמר בנושא שימוש בחשבונות שירות בפרויקטים אחרים.

לוחצים כדי לראות את התפקידים הנדרשים עבור זהות השירות.

כדי לאפשר לזהות השירות לגשת ל-API מ-Cloud Run, אתם או האדמין שלכם צריכים להעניק לזהות השירות את ההרשאות או התפקידים שנדרשים לפעולות שאתם רוצים לבצע. Google Cloud כדי לגשת לספריות לקוח ספציפיות של Cloud, אפשר לעיין במסמכי העזרה של השירות. Google Cloud Google Cloud

אם מאגר העובדים של Cloud Run לא ניגש לשירותים אחרים של Google Cloud , לא צריך להעניק לזהות השירות תפקידים או הרשאות, ואפשר להשתמש בחשבון השירות שמוגדר כברירת מחדל שהוקצה לפרויקט.

קבלת המלצות ליצירת חשבונות שירות ייעודיים

כשיוצרים חשבון שירות חדש במסוף Google Cloud , השלב האופציונלי 'הענקת גישה לחשבון השירות הזה לפרויקט' מיועד לכל גישה נוספת שנדרשת. לדוגמה, שירות אחד של Cloud Run יכול להפעיל שירות פרטי אחר של Cloud Run, או לגשת למסד נתונים של Cloud SQL. בשני המקרים נדרשים תפקידי IAM ספציפיים. מידע נוסף מופיע במאמר בנושא ניהול גישה.

שירות ההמלצות גם מספק באופן אוטומטי המלצות ליצירת חשבונות שירות ייעודיים עם קבוצת ההרשאות המינימלית הנדרשת.

הגדרת זהות בשירות

אם עדיין לא יצרתם חשבון שירות, אתם יכולים ליצור חשבון שירות שמנוהל על ידי המשתמש ב-IAM או ב-Cloud Run.

כדי להגדיר זהות שירות, משתמשים בGoogle Cloud מסוף, ב-CLI של gcloud, ב-YAML או ב-Terraform:

המסוף

  1. נכנסים ל-Cloud Run במסוף Google Cloud :

    כניסה ל-Cloud Run

  2. בתפריט, בוחרים באפשרות מאגרי עובדים ולוחצים על פריסת קונטיינר כדי להגדיר מאגר עובדים חדש. אם אתם מגדירים מאגר עובדים קיים, לוחצים על מאגר העובדים ואז על Edit and deploy new revision (עריכה ופריסה של גרסה חדשה).

  3. אם אתם מגדירים מאגר עובדים חדש, ממלאים את הדף הראשוני של מאגר העובדים ולוחצים על Container(s), Volumes, Networking, Security כדי להרחיב את דף ההגדרות של מאגרי העובדים.

  4. לוחצים על הכרטיסייה אבטחה.

    תמונה

    • לוחצים על Create a new service account או על התפריט הנפתח Service account ובוחרים חשבון שירות קיים, אם רלוונטי.

  5. לוחצים על יצירה או על פריסה.

gcloud

אם עדיין לא יצרתם חשבון שירות, אתם צריכים ליצור חשבון שירות שמנוהל על ידי משתמש ב-IAM.

אפשר לעדכן מאגר עובדים קיים כדי להגדיר חשבון שירות באמצעות הפקודה הבאה:

gcloud beta run worker-pools update WORKER_POOL --service-account SERVICE_ACCOUNT

מחליפים את מה שכתוב בשדות הבאים:

  • WORKER_POOL: השם של השירות.
  • SERVICE_ACCOUNT: חשבון השירות שמשויך לחשבון השירות שמשויך לזהות החדשה. הערך הזה הוא כתובת האימייל של חשבון השירות, בתבנית SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com, כאשר SERVICE_ACCOUNT_NAME הוא שם חשבון השירות ו-PROJECT_ID הוא מזהה הפרויקט. אפשר גם להגדיר חשבון שירות במהלך הפריסה באמצעות הפקודה:
gcloud beta run worker-pools deploy WORKER_POOL --image IMAGE_URL --service-account SERVICE_ACCOUNT

מחליפים את מה שכתוב בשדות הבאים:

  • WORKER_POOL: שם מאגר העובדים.
  • IMAGE_URL: הפניה לקובץ האימג' של הקונטיינר שמכיל את מאגר העובדים, למשל us-docker.pkg.dev/cloudrun/container/worker-pool:latest.
  • SERVICE_ACCOUNT: חשבון השירות שמשויך לזהות החדשה: הערך הזה הוא כתובת האימייל של חשבון השירות, בפורמט SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.

YAML

  1. אם אתם יוצרים מאגר עובדים חדש, דלגו על השלב הזה. אם אתם מעדכנים מאגר עובדים קיים, אתם צריכים להוריד את הגדרת ה-YAML שלו:

    gcloud beta run worker-pools describe WORKER_POOL --format export > workerpool.yaml

  2. בדוגמה הבאה מופיעה הגדרת ה-YAML:

    apiVersion: run.googleapis.com/v1
kind: WorkerPool
metadata:
  name: WORKER_POOL
  annotations:
    run.googleapis.com/launch-stage: BETA
spec:
  template:
    spec:
      serviceAccountName: SERVICE_ACCOUNT

    מחליפים את מה שכתוב בשדות הבאים:

    • WORKER_POOL: השם של מאגר העובדים שלכם ב-Cloud Run.
    • SERVICE_ACCOUNT: חשבון השירות שמשויך לזהות החדשה. הערך הוא כתובת האימייל של חשבון השירות – לדוגמה, SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.

  3. יוצרים או מעדכנים את מאגר העובדים באמצעות הפקודה הבאה:

    gcloud beta run worker-pools replace workerpool.yaml

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

resource "google_cloud_run_v2_worker_pool" "default" {
  name     = "WORKER_POOL"
  location = "REGION"
  launch_stage = "BETA"

  template {
    containers {
      image = "IMAGE_URL"
    }
  }
  service_account = "SERVICE_ACCOUNT"
}

מחליפים את מה שכתוב בשדות הבאים:

  • WORKER_POOL: שם מאגר העובדים.
  • REGION: האזור Google Cloud . לדוגמה, europe-west1.
  • IMAGE_URL: הפניה לקובץ האימג' של הקונטיינר שמכיל את מאגר העובדים, למשל us-docker.pkg.dev/cloudrun/container/worker-pool:latest.
  • SERVICE_ACCOUNT: חשבון השירות שמשויך לחשבון השירות שמשויך לזהות החדשה. הערך הזה הוא כתובת האימייל של חשבון השירות, בפורמט SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com, כאשר SERVICE_ACCOUNT_NAME הוא שם חשבון השירות ו-PROJECT_ID הוא מזהה הפרויקט.

שימוש בחשבונות שירות בפרויקטים אחרים

אם אתם מגדירים חשבון שירות מ Google Cloud פרויקט אחר מהמשאב של Cloud Run, אתם צריכים לבצע את הפעולות הבאות:

  1. אתם או האדמין שלכם צריכים להקצות את התפקיד 'משתמש בחשבון שירות' (roles/iam.serviceAccountUser) בחשבון השירות שבו אתם משתמשים כזהות השירות.

    המסוף

    1. נכנסים לדף Service accounts במסוף Google Cloud :

      כניסה לדף Service accounts

    2. בוחרים את כתובת האימייל של חשבון השירות שבה אתם משתמשים כזהות השירות.

    3. לוחצים על הכרטיסייה Principals with access (גורמים עם גישה).

    4. לוחצים על הלחצן Grant access.

    5. מזינים את כתובת האימייל של חשבון הפריסה שתואמת לחשבון הראשי שרוצים לתת לו את התפקיד אדמין או פיתוח.

    6. בתפריט הנפתח Select a role בוחרים בתפקיד Service Accounts > Service Account User.

    7. לוחצים על Save.

    gcloud

    משתמשים בפקודה gcloud iam service-accounts add-iam-policy-binding ומחליפים את המשתנים המודגשים בערכים המתאימים:

    gcloud iam service-accounts add-iam-policy-binding \
    SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \
    --member="PRINCIPAL" \
    --role="roles/iam.serviceAccountUser"

    מחליפים את מה שכתוב בשדות הבאים:

    • SERVICE_ACCOUNT_NAME: השם של חשבון השירות שמצרפים אליו את משאב Cloud Run
    • SERVICE_ACCOUNT_PROJECT_ID: מזהה הפרויקט שבו נמצא חשבון השירות

    • PRINCIPAL: החשבון של הפורס שמוסיפים לו את הקישור, בפורמט user|group|serviceAccount:email או domain:domain – לדוגמה:

      • user:test-user@gmail.com
      • group:admins@example.com
      • serviceAccount:test123@example.domain.com
      • domain:example.domain.com

  2. אתם או האדמין שלכם צריכים להעניק לסוכן השירות של משאב Cloud Run את התפקיד Service Account Token Creator ‏(roles/iam.serviceAccountTokenCreator) בחשבון השירות שבו אתם משתמשים כזהות השירות. השם של סוכן השירות פועל לפי הפורמט service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com.

    המסוף

    1. נכנסים לדף Service accounts במסוף Google Cloud :

      כניסה לדף Service accounts

    2. בוחרים את כתובת האימייל של חשבון השירות שבה אתם משתמשים כזהות השירות.

    3. לוחצים על הכרטיסייה Permissions.

    4. לוחצים על הלחצן Grant access.

    5. מזינים את כתובת האימייל של סוכן השירות. לדוגמה: service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com.

    6. בתפריט הנפתח Select a role בוחרים בתפקיד Service Accounts > Service Account Token Creator.

    7. לוחצים על Save.

    gcloud

    משתמשים בפקודה gcloud iam service-accounts add-iam-policy-binding:

    gcloud iam service-accounts add-iam-policy-binding \
    SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \
    --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \
    --role="roles/iam.serviceAccountTokenCreator"

    מחליפים את מה שכתוב בשדות הבאים:

    • SERVICE_ACCOUNT_NAME: השם של חשבון השירות שמצרפים אליו את משאב Cloud Run
    • SERVICE_ACCOUNT_PROJECT_ID: מזהה הפרויקט שבו נמצא חשבון השירות
    • CLOUD_RUN_RESOURCE_PROJECT_NUMBER: מספר הפרויקט שבו נמצא Cloud Run

    הפקודה מדפיסה את מדיניות ההרשאה המעודכנת לחשבון השירות המנוהל על ידי המשתמש.

  3. כדי להשתמש בחשבון השירות הזה בפרויקט, צריך להגדיר את מדיניות הארגון iam.disableCrossProjectServiceAccountUsage כ-false או כלא מחייבת ברמת התיקייה, או להגדיר אותה ככזו שמועברת בירושה מההגדרות ברמת הפרויקט. כברירת מחדל, הערך שמוגדר הוא true.

    המסוף

    1. נכנסים לדף מדיניות הארגון במסוף Google Cloud :

      מעבר אל מדיניות הארגון

    2. בבורר הפרויקטים, בוחרים את הארגון והפרויקט שבהם רוצים להשבית את השימוש בחשבונות שירות בפרויקטים שונים.

    3. בוחרים את המדיניות disable cross-project service account usage (השבתת השימוש בחשבון שירות בפרויקטים שונים).

    4. לוחצים על ניהול המדיניות.

    5. בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

    6. לוחצים על Add a rule.

    7. בקטע אכיפה, בוחרים באפשרות השבתה.

    8. כדי לאכוף את המדיניות, לוחצים על הגדרת מדיניות.

    gcloud

    בפרויקט שבו נמצא חשבון השירות, מוודאים שהמגבלה iam.disableCrossProjectServiceAccountUsage במדיניות הארגון לא נאכפת. האילוץ הזה נאכף כברירת מחדל.

    כדי להשבית את אילוץ מדיניות הארגון הזה, מריצים את הפקודה:

    gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage
    --project=SERVICE_ACCOUNT_PROJECT_ID

    מחליפים את SERVICE_ACCOUNT_PROJECT_ID במזהה הפרויקט שמכיל את חשבון השירות.

אפשר להחיל את חברות התפקיד ישירות על משאב חשבון השירות או לרשת אותה מרמות גבוהות יותר בהיררכיה של המשאבים.

הצגת ההגדרה של חשבון השירות למאגר העובדים

  1. נכנסים ל-Cloud Run במסוף Google Cloud :

    כניסה ל-Cloud Run

  2. לוחצים על Worker pools כדי להציג את רשימת מאגרי העובדים שנפרסו.

  3. לוחצים על מאגר העובדים שרוצים לבדוק כדי להציג את חלונית הפרטים שלו.

  4. לוחצים על הכרטיסייה Security (אבטחה) כדי להציג את פרטי האבטחה של מאגר העובדים, כולל חשבונות שירות.

המאמרים הבאים