Questo documento mostra come concedere ruoli e autorizzazioni Identity and Access Management (IAM) per supportare il routing degli eventi da Google Cloud e altre origini ai flussi di lavoro di destinazione utilizzando Eventarc.
Concedi autorizzazioni a livello di progetto al principal che richiama le API Eventarc (ad esempio, il creatore del trigger Eventarc):
- Il ruolo Amministratore Eventarc ti consente di controllare completamente tutte le risorse Eventarc, inclusa la specifica di un service account per il trigger al momento della creazione.
- Il ruolo Utente service account consente a un'entità di simulare l'identità e utilizzare unaccount di serviziot. Il account di servizio è associato a un trigger Eventarc e rappresenta l'identità del trigger.
Concedi le autorizzazioni del trigger Eventarc al service account del trigger:
- Il ruolo Destinatario di eventi Eventarc consente al trigger Eventarc di ricevere eventi dai provider di eventi. Non devi concedere il ruolo se indirizzi gli eventi diretti da Cloud Pub/Sub.
- Il ruolo Workflows Invoker consente al trigger Eventarc di avviare l'esecuzione di un workflow.
Concedi le autorizzazioni agli agenti di servizio Google:
- Se stai creando un trigger per eventi diretti da Cloud Storage, concedi il ruolo Publisher Pub/Sub.
- Se hai attivato l'agente di servizio Cloud Pub/Sub l'8 aprile 2021 o in una data precedente, concedi il ruolo Creatore token service account.
Per saperne di più sulla concessione dei ruoli IAM, consulta Gestire l'accesso. Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Concedi autorizzazioni a livello di progetto
Se hai creato il progetto, ti viene concesso il ruolo Proprietario di base (roles/owner). Per impostazione predefinita, questo ruolo include le autorizzazioni necessarie per l'accesso completo alla maggior parte delle risorseGoogle Cloud . In caso contrario, i ruoli richiesti devono essere concessi da un
amministratore sulla risorsa appropriata all'entità appropriata (nota anche
come membro).
Ad esempio, un'entità può essere un Account Google (per gli utenti finali) o un service account (per applicazioni e carichi di lavoro di calcolo). Ogni entità ha il proprio identificatore, che in genere è un indirizzo email.
Il ruolo Amministratore Eventarc (
roles/eventarc.admin) ti consente il controllo completo su tutte le risorse Eventarc.Concedi il ruolo sul progetto:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role=roles/eventarc.admin
Sostituisci quanto segue:
PROJECT_ID: il tuo ID progetto Google Cloud .PRINCIPAL: un identificatore per il creatore del trigger che di solito ha il seguente formato:PRINCIPAL_TYPE:ID. Ad esempiouser:my-user@example.com. Per un elenco completo dei possibili valori diPRINCIPAL_TYPE, consulta il riferimento al binding dei criteri.
Il ruolo Utente service account (
roles/iam.serviceAccountUser) consente a un'entità di eseguire operazioni come account di servizio.Quando crei un trigger Eventarc o quando esegui il deployment di un workflow, hai bisogno di questo ruolo per poter associare un account di servizio gestito dall'utente al trigger o al workflow, che ne rappresenta l'identità. Per ulteriori informazioni, consulta Ruoli per laccount di servizio account.
Puoi concedere il ruolo nel progetto per consentire all'entità di rappresentare più service account o concedere il ruolo nel account di servizio per consentire all'entità di rappresentare solo un account di servizio specifico.
Concedi il ruolo sul progetto:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role=roles/iam.serviceAccountUser
In alternativa, concedi il ruolo all'account di servizio:
gcloud iam service-accounts add-iam-policy-binding \ projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member=PRINCIPAL \ --role=roles/iam.serviceAccountUser
Sostituisci quanto segue:
SERVICE_ACCOUNT_PROJECT_ID: l' Google Cloud ID progetto che contiene l'account di servizio.SERVICE_ACCOUNT_NAME: il nome del service account. ## Concedi le autorizzazioni del trigger Eventarc
Ogni trigger Eventarc è associato a un account di servizio IAM al momento della creazione del trigger. Puoi specificare un account di servizio gestito dall'utente che il trigger utilizza come identità predefinita. Se non specifichi un service account durante la creazione del trigger, quest'ultimo utilizza l'account di servizio predefinito di Compute Engine per la sua identità.
Ti consigliamo di creare un service account gestito dall'utente per avere maggiore controllo e flessibilità nella gestione del trigger.
Crea un account di servizio e annota il relativo nome:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --description="DESCRIPTION" \ --display-name="DISPLAY_NAME"
Sostituisci quanto segue:
SERVICE_ACCOUNT_NAME: il nome del service account. Questo nome viene visualizzato nell'indirizzo email che identifica il account di servizio.DESCRIPTION: una descrizione facoltativa del account di serviziotDISPLAY_NAME: il nome di un account di servizio da visualizzare nella console Google Cloud
Concedi il ruolo Eventarc Event Receiver (
roles/eventarc.eventReceiver) al account di servizio associato al trigger Eventarc in modo che possa ricevere eventi dai provider di eventi.Tieni presente che non devi concedere il ruolo Eventarc Event Receiver se stai instradando eventi diretti da Cloud Pub/Sub.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/eventarc.eventReceiver
Sostituisci
SERVICE_ACCOUNT_NAMEcon il nome del tuo account di servizio che hai annotato nel passaggio precedente.Concedi il ruolo Invoker di Workflows (
roles/workflows.invoker) nel progetto al account di servizio associato al trigger Eventarc in modo che possa avviare l'esecuzione del workflow.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/workflows.invoker
Sostituisci
SERVICE_ACCOUNT_NAMEcon il nome del account di servizio che hai annotato in precedenza.
Concedi le autorizzazioni agli agenti di servizio Google
Alcuni Google Cloud servizi hanno agenti di servizio che consentono ai servizi di accedere alle tue risorse. Se un'API richiede un service agent, Google lo crea dopo che hai attivato e utilizzato l'API.
Se stai creando un trigger per eventi diretti da Cloud Storage, per supportare la pubblicazione di messaggi in un argomento, concedi il ruolo Publisher Pub/Sub (
roles/pubsub.publisher) sul progetto all'agente di servizio Cloud Storage:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com \ --role=roles/pubsub.publisher
Sostituisci
PROJECT_NUMBERcon il numero del tuo progetto Google Cloud. Puoi trovare il numero di progetto nella pagina Benvenuto della console Google Cloud o eseguendo questo comando:gcloud projects describe PROJECT_ID --format='value(projectNumber)'
Se hai attivato l'agente di servizio Cloud Pub/Sub l'8 aprile 2021 o in una data precedente, per supportare le richieste push Pub/Sub autenticate, concedi il ruolo Creatore token service account (
roles/iam.serviceAccountTokenCreator) nel progetto all'agente di servizio Pub/Sub. In caso contrario, questo ruolo viene concesso per impostazione predefinita:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
Passaggi successivi
Scopri di più sulle opzioni di controllo dell'accesso in Eventarc.
Scopri di più su come concedere l'autorizzazione dei workflow per l'accesso alle Google Cloud risorse.
Scopri di più sulle best practice per l'utilizzo degli account di servizio.
Scopri come descrivere un trigger e verificare il relativo account di servizio.