Por padrão, somente proprietários e editores de projetos podem criar, atualizar, excluir ou invocar recursos do Cloud Run, e somente proprietários de projetos e administradores do Cloud Run podem modificar as políticas do Identity and Access Management (IAM), por exemplo, para tornar um serviço público. Consulte Papéis do IAM do Cloud Run para mais detalhes.
Para conceder a outros usuários ou grupos a capacidade de executar essas ações, use o IAM para conceder papéis a diferentes principais.
Se você criou ou implantou funções usando comandos
gcloud functions ou as
APIs Cloud Functions v2 e precisa
usar essas opções para compatibilidade com versões anteriores, consulte
Controle de acesso com o IAM.
Papéis predefinidos do Cloud Run
Em comparação com os papéis básicos (Proprietário, Editor e Leitor), os seguintes papéis predefinidos têm controle de acesso mais refinado para acessar os recursos do Cloud Run:
| Papel | Descrição |
|---|---|
Administrador do Cloud Run (roles/run.admin) |
Pode criar, atualizar e excluir serviços, jobs e pools de workers, além de acessar, listar e excluir execuções de jobs. Pode invocar serviços e jobs e cancelar execuções de jobs. Pode acessar e definir políticas do IAM. Pode ver, aplicar e dispensar recomendações. Requer configuração adicional para implantar serviços. |
Desenvolvedor do Cloud Run (roles/run.developer) |
Pode criar, atualizar e excluir serviços, jobs e pools de trabalhadores, além de acessar, listar e excluir execuções de jobs. Pode receber, mas não definir políticas do IAM. Pode ver, aplicar e dispensar recomendações. |
Leitor do Cloud Run (roles/run.viewer) |
Pode ver serviços, jobs, execuções de jobs e pools de workers. Pode acessar políticas do IAM. Pode ver recomendações. |
Chamador do Cloud Run (roles/run.invoker) |
Pode invocar serviços e jobs e cancelar execuções de jobs. |
Desenvolvedor de origem do Cloud Run (roles/run.sourceDeveloper) |
Pode implantar e gerenciar recursos implantados de origem do Cloud Run. |
Builder do Cloud Run (�)roles/run.builder |
Pode criar Cloud Run functions e serviços implantados de origem. |
Invocador do serviço do Cloud Run (roles/run.servicesInvoker) |
Invoca serviços do Cloud Run. |
Executor de jobs do Cloud Run (roles/run.jobsExecutor) |
Executa e cancela jobs do Cloud Run. |
Executor de jobs do Cloud Run com substituições (roles/run.jobsExecutorWithOverrides) |
Executa e cancela jobs do Cloud Run com substituições. |
Controlar o acesso a um recurso individual do Cloud Run
É possível controlar o acesso por serviço, por job ou por pool de trabalhadores usando o IAM.
Adicionar principais
Para adicionar principais a um serviço:
Console
- Acesse o console do Google Cloud :
- Marque a caixa de seleção ao lado do serviço em que você quer adicionar participantes. Não clique no próprio serviço.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam acessar seu serviço.
- No menu suspenso Atribuir papéis, selecione um ou mais papéis. Os papéis selecionados aparecem no painel com uma breve descrição das permissões que concedem.
- Clique em Salvar.
gcloud
Use o comando a seguir:
gcloud run services add-iam-policy-binding SERVICE_NAME \ --member=PRINCIPAL \ --role=ROLE
Substitua:
SERVICE_NAME: o nome do serviço.PRINCIPAL: o tipo de principal (por exemplo,user:email@domain.com). Para uma lista de valores aceitáveis paraPRINCIPAL, consulte Identificadores principais.ROLE: o papel. Para uma lista de valores aceitáveis paraROLE, consulte Papéis do IAM do Cloud Run.
Para adicionar principais a um job:
Console
- Acesse o console do Google Cloud :
- Clique na caixa de seleção à esquerda do job a que você quer adicionar principais. Não clique no job em si.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam acessar seu job.
- No menu Atribuir papéis, selecione um ou mais papéis. Os papéis selecionados aparecem no painel com uma breve descrição das permissões que concedem.
- Clique em Salvar.
gcloud
Use o comando a seguir:
gcloud run jobs add-iam-policy-binding JOB_NAME \ --member=PRINCIPAL \ --role=ROLE
Substitua:
JOB_NAME: o nome do job.PRINCIPAL: o tipo de principal (por exemplo,user:email@domain.com). Para uma lista de valores aceitáveis paraPRINCIPAL, consulte os Identificadores principais.ROLE: o papel. Para uma lista de valores aceitáveis paraROLE, consulte Papéis do IAM do Cloud Run.
Para adicionar principais a um pool de workers:
Console
- Acesse o console do Google Cloud :
- Marque a caixa de seleção ao lado do pool de workers em que você quer adicionar principais. Não clique no próprio pool de workers.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam acessar seu pool de workers.
- No menu Atribuir papéis, selecione um ou mais papéis. Os papéis selecionados aparecem no painel com uma breve descrição das permissões que concedem.
- Clique em Salvar.
gcloud
Use o comando a seguir:
gcloud run worker-pools add-iam-policy-binding WORKER_POOL \ --member=PRINCIPAL \ --role=ROLE
Substitua:
WORKER_POOL: o nome do pool de workers.PRINCIPAL: o tipo de principal (por exemplo,user:email@domain.com). Para uma lista de valores aceitáveis paraPRINCIPAL, consulte os Identificadores principais.ROLE: o papel. Para uma lista de valores aceitáveis paraROLE, consulte Papéis do IAM do Cloud Run.
Remover participantes de um papel
Para remover principais de um papel em um serviço:
Console
- Acesse o console do Google Cloud :
- Marque a caixa de seleção ao lado do serviço de que você quer remover principais. Não clique no próprio serviço.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
- Insira o participante que você quer remover no filtro da lista de papéis, que exibe todos os papéis concedidos a esse principal.
- Clique na lixeira Excluir ao lado do principal no papel desejado para remover esse papel do principal.
- Na caixa de diálogo de confirmação, você tem a opção de remover esse principal de todos os papéis no serviço. Clique em Remover para remover a principal da função.
gcloud
Use o comando a seguir:
gcloud run services remove-iam-policy-binding SERVICE_NAME \ --member=PRINCIPAL \ --role=ROLE
Substitua:
SERVICE_NAME: o nome do serviço.PRINCIPAL: o tipo de principal (por exemplo,user:email@domain.com). Para uma lista de valores aceitáveis paraPRINCIPAL, consulte os Identificadores principais.ROLE: o papel. Para uma lista de valores aceitáveis paraROLE, consulte Papéis do IAM do Cloud Run.
Para remover principais de um papel em um job:
Console
- Acesse o console do Google Cloud :
- Clique na caixa de seleção à esquerda do job a que você quer adicionar principais. Não clique no job em si.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
- Insira o participante que você quer remover no filtro da lista de papéis, que exibe todos os papéis concedidos a esse principal.
- Clique na lixeira Excluir ao lado do principal no papel desejado para remover esse papel do principal.
- Na caixa de diálogo de confirmação, você tem a opção de remover esse principal de todos os papéis no job. Clique em Remover para remover a principal da função.
gcloud
Use o comando a seguir:
gcloud run jobs remove-iam-policy-binding JOB_NAME \ --member=PRINCIPAL \ --role=ROLE
Substitua:
JOB_NAME: o nome do job.PRINCIPAL: o tipo de principal (por exemplo,user:email@domain.com). Para uma lista de valores aceitáveis paraPRINCIPAL, consulte os Identificadores principais.ROLE: o papel. Para uma lista de valores aceitáveis paraROLE, consulte Papéis do IAM do Cloud Run.
Para remover principais de um papel em um pool de worker:
Console
- Acesse o console do Google Cloud :
- Clique na caixa de seleção ao lado do pool de trabalhadores de que você quer remover principais. Não clique no próprio pool de workers.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
- Insira o participante que você quer remover no filtro da lista de papéis, que exibe todos os papéis concedidos a esse principal.
- Clique na lixeira Excluir ao lado do principal no papel desejado para remover esse papel do principal.
- Na caixa de diálogo de confirmação, você tem a opção de remover esse principal de todos os papéis no pool de workers. Clique em Remover para remover a principal da função.
gcloud
Use o comando a seguir:
gcloud run worker-pools remove-iam-policy-binding WORKER_POOL \ --member=PRINCIPAL \ --role=ROLE
Substitua:
WORKER_POOL: o nome do pool de workers.PRINCIPAL: o tipo de principal (por exemplo,user:email@domain.com). Para uma lista de valores aceitáveis paraPRINCIPAL, consulte os Identificadores principais.ROLE: o papel. Para uma lista de valores aceitáveis paraROLE, consulte Papéis do IAM do Cloud Run.
Adição ou remoção de principais em massa
Para adicionar ou remover itens em massa em um serviço:
Console
- Acesse o console do Google Cloud :
- Clique na caixa de seleção à esquerda do serviço em que você quer adicionar ou remover principais. Não clique no próprio serviço.
- Selecione o serviço em que você quer adicionar ou remover participantes.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
Se você quiser adicionar principais:
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam acessar seu serviço.
- No menu Atribuir papéis, selecione um ou mais papéis. Os papéis selecionados aparecem no painel com uma breve descrição das permissões que concedem.
- Clique em Salvar.
Se você quiser remover os principais:
- Insira o participante que você quer remover no filtro da lista de papéis, que exibe todos os papéis concedidos a esse principal.
- Clique na lixeira para excluir na linha do principal.
- Na caixa de diálogo de confirmação, você tem a opção de remover esse principal de todos os papéis no serviço. Clique em Remover para remover a principal da função.
gcloud
Crie uma política do IAM:
cat <<EOF > policy.json { "bindings": [ { "role": ROLE, "members": [ PRINCIPAL ] } ] } EOF
Use o comando gcloud run services set-iam-policy:
gcloud run services set-iam-policy SERVICE_NAME policy.json
Para uma lista de valores aceitáveis para PRINCIPAL,
consulte Identificadores principais.
Para uma lista de valores aceitáveis para ROLE, consulte
Papéis do IAM do Cloud Run.
Para fazer uma adição ou remoção em massa em um job:
Console
- Acesse o console do Google Cloud :
- Clique na caixa de seleção à esquerda do job a que você quer adicionar principais. Não clique no job em si.
- Selecione o job em que você quer adicionar ou remover principais.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
Se você quiser adicionar principais:
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam acessar seu serviço.
- No menu Atribuir papéis, selecione um ou mais papéis. Os papéis selecionados aparecem no painel com uma breve descrição das permissões que concedem.
- Clique em Salvar.
Se você quiser remover os principais:
- Insira o participante que você quer remover no filtro da lista de papéis, que exibe todos os papéis concedidos a esse principal.
- Clique na lixeira para excluir na linha do principal.
- Na caixa de diálogo de confirmação, você tem a opção de remover esse principal de todos os papéis no job. Clique em Remover para remover a principal da função.
gcloud
Crie uma política do IAM:
cat <<EOF > policy.json { "bindings": [ { "role": ROLE, "members": [ PRINCIPAL ] } ] } EOF
Use o comando gcloud run jobs set-iam-policy:
gcloud run jobs set-iam-policy JOB_NAME policy.json
Para uma lista de valores aceitáveis para PRINCIPAL,
consulte Identificadores principais.
Para uma lista de valores aceitáveis para ROLE, consulte
Papéis do IAM do Cloud Run.
Para adicionar ou remover itens em massa em um pool de workers:
Console
- Acesse o console do Google Cloud :
- Clique na caixa de seleção ao lado do pool de trabalhadores em que você quer adicionar ou remover principais. Não clique no próprio pool de workers.
- Selecione o pool de workers em que você quer adicionar ou remover principais.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
Se você quiser adicionar principais:
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam acessar seu pool de workers.
- No menu Atribuir papéis, selecione um ou mais papéis. Os papéis selecionados aparecem no painel com uma breve descrição das permissões que concedem.
- Clique em Salvar.
Se você quiser remover os principais:
- Insira o participante que você quer remover no filtro da lista de papéis, que exibe todos os papéis concedidos a esse principal.
- Clique na lixeira para excluir na linha do principal.
- Na caixa de diálogo de confirmação, você tem a opção de remover esse principal de todos os papéis no pool de workers. Clique em Remover para remover a principal da função.
gcloud
Crie uma política do IAM:
cat <<EOF > policy.json { "bindings": [ { "role": ROLE, "members": [ PRINCIPAL ] } ] } EOF
Use o comando gcloud run worker-pools set-iam-policy:
gcloud run worker-pools set-iam-policy WORKER_POOL policy.json
Para uma lista de valores aceitáveis para PRINCIPAL,
consulte Identificadores principais.
Para uma lista de valores aceitáveis para ROLE, consulte
Papéis do IAM do Cloud Run.
Ver participantes
Para ver os principais de um serviço:
Console
- Acesse o console do Google Cloud :
- Clique na caixa de seleção à esquerda do serviço que você quer ver para principais e papéis. Não clique no próprio serviço.
- Selecione o serviço que você quer ver para participantes e papéis.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
- A lista de papéis e principais será mostrada, agrupada por papel concedido.
gcloud
Use o comando a seguir:
gcloud run services get-iam-policy SERVICE_NAME
Para ver os principais de um job:
Console
- Acesse o console do Google Cloud :
- Clique na caixa de seleção à esquerda do job a que você quer adicionar principais. Não clique no job em si.
- Selecione o job de que você quer ver os principais e papéis.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
- A lista de papéis e os principais serão mostrados, agrupados por papel concedido.
gcloud
Use o comando a seguir:
gcloud run jobs get-iam-policy JOB_NAME
Para ver os principais de um pool de workers:
Console
- Acesse o console do Google Cloud :
- Clique na caixa de seleção ao lado do pool de workers que você quer ver para principais e papéis. Não clique no próprio pool de workers.
- Selecione o pool de workers que você quer ver para principais e papéis.
- No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
- A lista de papéis e principais será mostrada, agrupada por papel concedido.
gcloud
Use o comando a seguir:
gcloud run worker-pools get-iam-policy WORKER_POOL
Controlar o acesso a todos os recursos do Cloud Run em um projeto
Se você quiser conceder papéis a principais em todos os serviços e jobs em um projeto, use o IAM no nível do projeto.
Console
Acesse o console do Google Cloud :
Encontre o participante para quem você quer conceder um papel para todo o projeto.
Clique no Lápis de edição no lado direito da linha do participante.
Clique em Adicionar outro papel e escolha o papel necessário.
Clique em Salvar.
gcloud
Use o comando gcloud projects add-iam-policy-binding:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role=ROLE
Substitua:
PROJECT_ID: o ID do seu Google Cloud projeto.PRINCIPAL: o principal (por exemplo,user:email@domain.com).ROLE: a função (por exemplo,roles/run.admin).
Substitua:
SERVICE_NAME: o nome do serviço (por exemplo,my-service).PRINCIPAL: o principal (por exemplo,user:email@domain.com).ROLE: a função (por exemplo,roles/run.invoker).REGION: a região (por exemplo,europe-west1).KEY=VALUE: uma condição a ser incluída na vinculação. A flag--conditionprecisa incluir os pares de chave-valorexpressionetitle.
Os tipos de participantes allUsers e allAuthenticatedUsers não podem ser aplicados
no nível do projeto e, em vez disso, precisam ser adicionados a cada serviço individualmente.
Tornar um serviço público
Há duas maneiras de criar um serviço público do Cloud Run:
- Desative a verificação do IAM do invocador do Cloud Run (recomendado).
- Atribua o papel do IAM de invocador do Cloud Run ao tipo de membro
allUsers.
Funções exigidas
Para desativar ou reativar a verificação do IAM do invocador em um serviço, você precisa ter as seguintes permissões:
run.services.createrun.services.updaterun.services.setIamPolicy
Essas permissões estão incluídas no papel
Administrador do Cloud Run
(roles/run.admin). Confira a lista completa de papéis e permissões associadas em
Papéis do IAM do Cloud Run.
Desativar a verificação do IAM do invocador do Cloud Run
A maneira recomendada de criar um serviço público é desativar a verificação do IAM do invocador do Cloud Run. O Cloud Run aplica essa verificação por padrão. Use essa solução quando o projeto estiver sujeito à restrição de compartilhamento restrito de domínio em uma política da organização.
Para desativar a verificação:
Console
No console Google Cloud , acesse a página do Cloud Run:
Clique em Criar serviço se estiver configurando um novo serviço e preencha a página inicial de configurações de serviço conforme necessário.
Se você estiver configurando um serviço atual, clique nele e na guia Segurança.
Selecione Permitir acesso público.
Clique em Criar ou Salvar.
gcloud
Para um novo serviço, use o comando
gcloud run deploycom a flag--no-invoker-iam-check:gcloud run deploy SERVICE_NAME --no-invoker-iam-check
Substitua
SERVICE_NAMEpelo nome do serviço.Para um serviço atual, use o comando
gcloud run services updatecom a flag--no-invoker-iam-check:gcloud run services update SERVICE_NAME --no-invoker-iam-check
Substitua SERVICE_NAME pelo nome do serviço.
YAML
Para visualizar e fazer o download da configuração:
gcloud run services describe SERVICE --format export > service.yaml
Atualize a anotação
run.googleapis.com/invoker-iam-disabled::apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/invoker-iam-disabled: 'true' name: SERVICE_NAME
Substitua SERVICE_NAME pelo nome do serviço do Cloud Run.
Substitua o serviço pela nova configuração usando o seguinte comando:
gcloud run services replace service.yaml
Terraform
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
Adicione o seguinte a um recursogoogle_cloud_run_v2_service
na configuração do Terraform:resource "google_cloud_run_v2_service" "default" {
name = "SERVICE"
location = "REGION"
invoker_iam_disabled = true
template {
containers {
image = "IMAGE_URL"
}
}
}
Substitua:
- SERVICE: o nome do seu serviço do Cloud Run.
- REGION: a região Google Cloud , por exemplo,
europe-west1. - IMAGE_URL: uma referência à imagem de contêiner, por
exemplo,
us-docker.pkg.dev/cloudrun/container/hello:latest. Se você usa o Artifact Registry, o repositório REPO_NAME já precisará ter sido criado. O URL segue o formatoLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
Verifique se a verificação está desativada após a implantação, navegando até o endpoint HTTPS do serviço.
Ative novamente a verificação do IAM do invocador do Cloud Run.
Para reativar a verificação:
Console
No console do Google Cloud , acesse a página Serviços do Cloud Run:
Clique no serviço e em Segurança.
Selecione Exigir autenticação e Identity and Access Management (IAM).
Clique em Salvar.
gcloud
Atualize o serviço transmitindo a flag
--invoker-iam-check:gcloud run services update SERVICE_NAME --invoker-iam-check
Substitua
SERVICE_NAMEpelo nome do serviço.
YAML
Para visualizar e fazer o download da configuração:
gcloud run services describe SERVICE --format export > service.yaml
Atualize a anotação
run.googleapis.com/invoker-iam-disabled::apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/invoker-iam-disabled: 'false' name: SERVICE_NAME
Substitua
SERVICE_NAMEpelo nome do serviço do Cloud Run.
Terraform
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
Adicione o seguinte a um recursogoogle_cloud_run_v2_service
na configuração do Terraform:resource "google_cloud_run_v2_service" "default" {
name = "SERVICE"
location = "REGION"
invoker_iam_disabled = false
template {
containers {
image = "IMAGE_URL"
}
}
}
Substitua:
- SERVICE: o nome do seu serviço do Cloud Run.
- REGION: a região Google Cloud , por exemplo,
europe-west1. - IMAGE_URL: uma referência à imagem de contêiner, por
exemplo,
us-docker.pkg.dev/cloudrun/container/hello:latest. Se você usa o Artifact Registry, o repositório REPO_NAME já precisará ter sido criado. O URL segue o formatoLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
Confira se a verificação foi reativada após a implantação acessando o endpoint HTTPS do serviço.
Configurar a política da organização para a verificação do IAM do invocador do Cloud Run
Se você for administrador, poderá restringir a capacidade de
desativar a verificação do IAM do invocador
usando a restrição gerenciada constraints/run.managed.requireInvokerIam.
Essa restrição não é aplicada por padrão.
Atribua o papel de invocador do Cloud Run IAM ao tipo de membro allUsers.
É possível permitir o acesso público a um serviço atribuindo o papel de invocador do Cloud Run do IAM
ao tipo de membro allUsers.
É preciso ter a permissão run.services.setIamPolicy para configurar a autenticação
em um serviço do Cloud Run. Essa permissão está incluída no papel de administrador do Cloud Run. Confira a lista completa de papéis e permissões associadas em
Papéis do IAM do Cloud Run.
Console
Para um serviço do Cloud Run existente:
No console do Google Cloud , acesse a página Serviços do Cloud Run:
À esquerda do serviço que você quer tornar público, clique na caixa de seleção. Não clique no próprio serviço.
No painel de informações no canto superior direito, clique na guia Permissões. Se o painel de informações não estiver visível, clique em Mostrar painel de informações e em Permissões.
Clique em Adicionar principal.
No campo Novos principais, insira o valor allUsers.
No menu Selecionar um papel, escolha o papel Chamador do Cloud Run.
Clique em Salvar.
Você precisa selecionar uma opção para tornar esse recurso público. Clique em Permitir acesso público para aplicar a mudança às configurações do IAM do serviço.
Para um novo serviço que você está criando, crie o serviço e selecione Permitir acesso público na seção Autenticação para disponibilizar o serviço publicamente. Para tornar um serviço particular, selecione Exigir autenticação.
gcloud
Para tornar um serviço acessível publicamente, use o comando gcloud run services para adicionar o tipo de membro allUsers especial a um serviço e conceder a ele o papel roles/run.invoker:
gcloud run services add-iam-policy-binding [SERVICE_NAME] \ --member="allUsers" \ --role="roles/run.invoker"
Executar o comando gcloud run deploy para tornar seu serviço acessível publicamente ao implantá-lo:
gcloud run deploy [SERVICE_NAME] ... --allow-unauthenticated
YAML
Crie um arquivo chamado policy.yaml com o conteúdo a seguir:
bindings:
- members:
- allUsers
role: roles/run.invoker
Permitir acesso público para o SERVICE existente usando:
gcloud run services set-iam-policy SERVICE policy.yaml
Terraform
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
Adicione o seguinte a um recursogoogle_cloud_run_v2_service
na configuração do Terraform:Para atualizar a vinculação do IAM do serviço para roles/run.invoker, adicione
o seguinte recurso que faz referência ao serviço do Cloud Run:
Essa vinculação só é autoritativa para o papel especificado. Outras vinculações do IAM na política de IAM do serviço são preservadas.
Usar condições do IAM
Use as condições do IAM para
definir e aplicar o controle de acesso condicional baseado em atributos a determinados
recursos do Cloud Run. O Cloud Run é compatível com os atributos de condição
(request.host)
e (request.path)
para conceder acesso condicional ao invocar
serviços e pools de workers do Cloud Run.
Por exemplo, para conceder acesso condicional com os atributos request.host e request.path ao invocar serviços do Cloud Run, adicione o campo condition ao executar o seguinte comando:
gcloud run services add-iam-policy-binding SERVICE_NAME \
--member=PRINCIPAL \
--role=ROLE \
--region=REGION \
--condition=[KEY=VALUE,...]
Substitua:
SERVICE_NAME: o nome do serviço (por exemplo,my-service).PRINCIPAL: o principal (por exemplo,user:email@domain.com).ROLE: a função (por exemplo,roles/run.invoker).REGION: a região (por exemplo,europe-west1).KEY=VALUE: uma condição a ser incluída na vinculação. A flag--conditionprecisa incluir os pares de chave-valorexpressionetitle.
Próximas etapas
Saiba como autenticar desenvolvedores, serviços e usuários com segurança para os serviços que você acabou de proteger.