Workflows utilizza Identity and Access Management (IAM) per controllare quali utenti autenticati e account di servizio possono eseguire determinate azioni.
Prima di iniziare l'autenticazione e l'autorizzazione dell'accesso alle risorse Workflows, assicurati di comprendere i concetti di base di IAM.
Questa pagina descrive le autorizzazioni richieste per accedere alle risorse Workflows, inclusa la possibilità di richiamare le esecuzioni dei workflow.
Per informazioni sulla concessione delle autorizzazioni ai workflow per accedere ad altri servizi, consulta Concedi l'autorizzazione dei workflow per l'accesso alle Google Cloud risorse.
Controllo degli accessi
Indipendentemente dalla modalità di implementazione dell'autenticazione, è importante comprendere il controllo dell'accesso e i ruoli Workflows disponibili. Un ruolo è un insieme di autorizzazioni che concedono l'accesso alle risorse in Google Cloud. Quando crei un'applicazione di produzione, concedi a un account di servizio solo i ruoli di cui ha bisogno per interagire con le API, le funzionalità o le risorse applicabili Google Cloud .
Per saperne di più sui ruoli Workflows disponibili, consulta Ruoli e autorizzazioni di Workflows.
Richiama Workflows
Un account di servizio è sia un'identità sia una risorsa che accetta i criteri IAM. Di conseguenza, puoi concedere ruoli al account di servizio, quindi consentire ad altre entità di simulare l'identità del account di servizio concedendo loro un ruolo sul account di servizio o su una delle risorse padre del account di servizio.
Ad esempio, puoi concedere a un account di servizio il ruolo workflows.invoker
in modo che l'account abbia l'autorizzazione per attivare l'esecuzione del workflow. Puoi quindi consentire a un'entità di simulare l'identità del tuo account di servizio.
Tieni presente che il account di servizio del workflow non richiede il ruolo workflows.invoker, a meno che il workflow non richiami se stesso o altri workflow.
Per saperne di più sulla simulazione dell'identità dei account di servizio, consulta Simulazione dell'identità dei service account.
Per concedere al account di servizio del servizio che chiama Workflows il ruolo Workflows Invoker (roles/workflows.invoker) in modo che il servizio abbia l'autorizzazione per eseguire i workflow e gestire le esecuzioni:
Console
Nella Google Cloud console, vai alla pagina Service account:
Vai a Service accountSeleziona un progetto e fai clic su Crea service account.
Nel campo Nome service account, inserisci un nome, ad esempio
sa-name.Fai clic su Crea e continua.
Nell'elenco Seleziona un ruolo, seleziona Workflows > Workflows Invoker.
Fai clic su Fine.
gcloud
Apri un terminale.
Inserisci questo comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role roles/workflows.invoker
Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo Google Cloud progetto.SERVICE_ACCOUNT_NAME: il nome del account di servizio.