Otorga permiso a un flujo de trabajo para acceder a los recursos de Google Cloud

Workflows usa cuentas de servicio para otorgar acceso a los recursos de Google Cloud a los flujos de trabajo. Las cuentas de servicio son cuentas especiales que actúan como la identidad de una entidad que no es una persona, como una función, una aplicación o una VM. Te brindan una forma de autenticar a las entidades que no son personas. Una cuenta de servicio puede considerarse una identidad y un recurso.

  • Cuando una cuenta de servicio se considera una identidad, se le puede otorgar una función, lo que le permite acceder a un recurso (como un flujo de trabajo).

  • Cuando una cuenta de servicio se considera un recurso, se pueden otorgar roles a otros usuarios para que accedan o administren esa cuenta de servicio.

Una cuenta de servicio se identifica por su dirección de correo electrónico, que es única a la cuenta.

Para obtener más información sobre cómo configurar la autenticación con una aplicación de producción, consulta Cómo autenticarse como una cuenta de servicio.

Cuenta de servicio predeterminada

Cada flujo de trabajo se asocia a una cuenta de servicio de Identity and Access Management (IAM) en el momento en que se crea. Si no especificas una cuenta de servicio durante la creación del flujo de trabajo, este usa la cuenta de servicio predeterminada de Compute Engine para su identidad. Puedes verificar la cuenta de servicio asociada de un flujo de trabajo. En este documento, consulta Cómo verificar la cuenta de servicio asociada de un flujo de trabajo.

  • Te recomendamos que uses la cuenta de servicio predeterminada solo para pruebas y desarrollo. Para los entornos de producción, recomendamos crear una cuenta de servicio nueva y otorgarle uno o más roles de IAM que contengan los permisos mínimos necesarios para administrar flujos de trabajo.

  • Los únicos roles que requiere tu cuenta de servicio son los necesarios para acceder a los recursos orquestados por tus flujos de trabajo. Para obtener más información, consulta Permisos de la cuenta de servicio en este documento.

Permisos de las cuentas de servicio

Debido a que las cuentas de servicio son identidades, puedes permitir que una cuenta de servicio acceda a los recursos de tu proyecto si le otorgas una función, al igual que lo harías con cualquier otra principal. Por ejemplo, si deseas permitir que tu flujo de trabajo envíe registros a Cloud Logging, asegúrate de que la cuenta de servicio que ejecuta el flujo de trabajo tenga un rol que incluya el permiso logging.logEntries.create (por ejemplo, el rol Logs Writer). En general, los roles que requiere tu cuenta de servicio dependen de los recursos que orquestas con tus flujos de trabajo. Para determinar qué roles son necesarios, revisa la documentación del producto del recurso que estás orquestando o elige roles predefinidos.

Ten en cuenta que la cuenta de servicio del flujo de trabajo no requiere el rol workflows.invoker, a menos que el flujo de trabajo se invoque a sí mismo o a otros flujos de trabajo (es decir, cree ejecuciones de flujo de trabajo nuevas). Para obtener más información, consulta Cómo invocar Workflows.

Para obtener más información sobre cómo otorgar roles a las principales, incluidas las cuentas de servicio, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Conecta cuentas de servicio a recursos

Para crear un recurso y conectar una cuenta de servicio, necesitas permisos para crear ese recurso y conectar la cuenta de servicio al recurso. Cualquier rol que incluya el permiso iam.serviceAccounts.actAs proporciona el permiso para conectar la cuenta de servicio a un recurso.

Si deseas obtener más información, consulta Roles para la autenticación de cuentas de servicio.

Invoca funciones de Cloud Run (2ª gen.)

En las funciones de Cloud Run (2ª gen.), los permisos de invocación están disponibles mediante la administración del servicio subyacente de Cloud Run. Si tu flujo de trabajo invoca un servicio de función de Cloud Run (2ª gen.), no necesitas otorgarle a la cuenta de servicio del llamador el rol de invocador de funciones de Cloud Run (roles/cloudfunctions.invoker). En su lugar, debes otorgar el rol de invocador de Cloud Run (roles/run.invoker).

Para obtener más información, consulta la comparación de versiones de funciones de Cloud Run.

Implementa un flujo de trabajo con una cuenta de servicio personalizada

Puedes crear tu propia cuenta de servicio administrada por el usuario para brindarte mayor flexibilidad en el control del acceso a tu flujo de trabajo.

  1. Crea una cuenta de servicio y anota su nombre:

  2. Otorga a la cuenta de servicio los roles adecuados, en función de los recursos a los que debe acceder el flujo de trabajo para realizar su trabajo.

  3. Asegúrate de que todos los principales que implementan flujos de trabajo tengan la capacidad de adjuntar la cuenta de servicio a los recursos. Si creaste la cuenta de servicio, se te otorga este permiso de forma automática. Para obtener más información, consulta Roles para la autenticación de cuentas de servicio.

    Para obtener el permiso que necesitas para conectar una cuenta de servicio a un recurso, pídele a tu administrador que te otorgue el rol de IAM de Usuario de cuenta de servicio (roles/iam.serviceAccountUser) en tu proyecto o la cuenta de servicio. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    Este rol predefinido contiene el permiso iam.serviceAccounts.actAs, que se requiere para conectar una cuenta de servicio a un recurso.

    También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.

    Otorga el rol en el proyecto:

    gcloud projects add-iam-policy-binding WORKFLOWS_PROJECT_ID \
        --member=PRINCIPAL \
        --role='roles/iam.serviceAccountUser'

    O bien, otorga el rol en la cuenta de servicio:

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \
        --member=PRINCIPAL \
        --role='roles/iam.serviceAccountUser'

    Reemplaza lo siguiente:

    • WORKFLOWS_PROJECT_ID: El ID de tu proyecto de Google Cloud que contiene los recursos del flujo de trabajo
    • PRINCIPAL: Es un identificador para el implementador del flujo de trabajo en el formato user|group|serviceAccount:email o domain:domain. Por ejemplo:

      • user:test-user@gmail.com
      • group:admins@example.com
      • serviceAccount:test123@example.domain.com
      • domain:example.domain.com
    • SERVICE_ACCOUNT_RESOURCE_NAME: Es el nombre completo del recurso de la cuenta de servicio. Por ejemplo:

      projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com

      Aquí:

      • SERVICE_ACCOUNT_PROJECT_ID es el ID del proyecto de Google Cloud que contiene la cuenta de servicio.
      • SERVICE_ACCOUNT_NAME es el nombre de la cuenta de servicio.
  4. Implementa tu flujo de trabajo con la cuenta de servicio personalizada.

Implementa un flujo de trabajo con una cuenta de servicio entre proyectos

De forma predeterminada, no puedes crear una cuenta de servicio en un proyecto y conectarla a un recurso en otro proyecto. En las siguientes instrucciones, se muestra cómo conectar una cuenta de servicio de un proyecto a un flujo de trabajo de otro proyecto. Luego, puedes usar la cuenta de servicio en diferentes proyectos para implementar un flujo de trabajo.

Si la cuenta de servicio y los recursos de flujo de trabajo se encuentran en proyectos diferentes, desde el proyecto en el que se encuentra la cuenta de servicio, completa lo siguiente:

  1. En la consola de Google Cloud, ve a la página Políticas de la organización:

    Ir a Políticas de la organización

    Verifica la política de la organización del proyecto y asegúrate de que no se aplique la restricción booleana iam.disableCrossProjectServiceAccountUsage. Si deseas obtener más información, consulta Habilita cuentas de servicio para conectarlas entre proyectos.

  2. Crea una cuenta de servicio y anota su nombre:

  3. Otorga a la cuenta de servicio los roles adecuados, en función de los recursos a los que debe acceder el flujo de trabajo para realizar su trabajo.

  4. Otorga el rol de creador de tokens de cuenta de servicio (roles/iam.serviceAccountTokenCreator) al agente de servicio de Workflows. Esto permite que el agente de servicio administre el acceso entre proyectos de la cuenta de servicio. Un agente de servicio es la identidad de un servicio de Google Cloud determinado para un proyecto en particular. Para obtener más información, consulta Agentes de servicio.

    Console

    1. En la consola de Google Cloud, ve a la página Flujos de trabajo:

      Ir a Workflows

    2. Haz clic en Crear para crear un flujo de trabajo o selecciona el nombre del flujo de trabajo que deseas actualizar.

    3. En la lista Cuenta de servicio, haz clic en Cambiar de proyecto.

    4. Selecciona una cuenta de servicio de otro proyecto.

    5. Si se te solicita, otorga el rol roles/iam.serviceAccountTokenCreator al agente de servicio de Workflows.

    gcloud

    1. Otorga el rol roles/iam.serviceAccountTokenCreator al agente de servicio de Workflows:

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \
          --member='serviceAccount:service-WORKFLOWS_PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com' \
          --role='roles/iam.serviceAccountTokenCreator'

      Reemplaza lo siguiente:

      • SERVICE_ACCOUNT_RESOURCE_NAME: El nombre completo del recurso de la cuenta de servicio. Por ejemplo:

        projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com

        Aquí:

        • SERVICE_ACCOUNT_PROJECT_ID es el ID del proyecto de Google Cloud que contiene la cuenta de servicio.
        • SERVICE_ACCOUNT_NAME es el nombre de la cuenta de servicio.
      • WORKFLOWS_PROJECT_NUMBER: Es el número del proyecto de Google Cloud que contiene los recursos del flujo de trabajo.

  5. Asegúrate de que todos los principales que implementan flujos de trabajo tengan la capacidad de adjuntar la cuenta de servicio a los recursos. Si creaste la cuenta de servicio, se te otorga este permiso de forma automática. Para obtener más información, consulta Roles para la autenticación de cuentas de servicio.

    Para obtener el permiso que necesitas para conectar una cuenta de servicio a un recurso, pídele a tu administrador que te otorgue el rol de IAM de Usuario de cuenta de servicio (roles/iam.serviceAccountUser) en tu proyecto o la cuenta de servicio. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    Este rol predefinido contiene el permiso iam.serviceAccounts.actAs, que se requiere para conectar una cuenta de servicio a un recurso.

    También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.

    Console

    1. En la consola de Google Cloud, ve a la página Flujos de trabajo:

      Ir a Workflows

    2. Haz clic en Crear para crear un flujo de trabajo o selecciona el nombre del flujo de trabajo que deseas actualizar.

    3. En la lista Cuenta de servicio, haz clic en Cambiar de proyecto.

    4. Selecciona una cuenta de servicio de otro proyecto.

    5. Si se te solicita, otorga el rol roles/iam.serviceAccountUser en el proyecto.

    gcloud

    Otorga el rol en el proyecto:

    gcloud projects add-iam-policy-binding WORKFLOWS_PROJECT_ID \
        --member=PRINCIPAL \
        --role='roles/iam.serviceAccountUser'

    O bien, otorga el rol en la cuenta de servicio:

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_RESOURCE_NAME \
        --member=PRINCIPAL \
        --role='roles/iam.serviceAccountUser'

    Reemplaza lo siguiente:

    • WORKFLOWS_PROJECT_ID: El ID de tu proyecto de Google Cloud que contiene los recursos del flujo de trabajo
    • PRINCIPAL: Es un identificador para el implementador del flujo de trabajo en el formato user|group|serviceAccount:email o domain:domain. Por ejemplo:
      • user:test-user@gmail.com
      • group:admins@example.com
      • serviceAccount:test123@example.domain.com
      • domain:example.domain.com
    • SERVICE_ACCOUNT_RESOURCE_NAME: El nombre completo del recurso de la cuenta de servicio. Por ejemplo:

      projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com

      Aquí:

      • SERVICE_ACCOUNT_PROJECT_ID es el ID del proyecto de Google Cloud que contiene la cuenta de servicio.
      • SERVICE_ACCOUNT_NAME es el nombre de la cuenta de servicio.
  6. Implementa tu flujo de trabajo con la cuenta de servicio entre proyectos.

Verifica la cuenta de servicio asociada a un flujo de trabajo

Puedes verificar qué cuenta de servicio está asociada con un flujo de trabajo en particular.

Console

  1. En la consola de Google Cloud, ve a la página Workflows.

    Ir a Workflows

  2. En la página Flujos de trabajo, haz clic en el nombre del flujo de trabajo.

  3. En la página Detalles del flujo de trabajo, haz clic en la pestaña Detalles.

    Se mostrará la cuenta de servicio asociada del flujo de trabajo.

gcloud

  1. Abre una terminal.

  2. Ingresa el siguiente comando:

    gcloud workflows describe MY_WORKFLOW

    Reemplaza MY_WORKFLOW por el nombre de tu flujo de trabajo.

    Se muestra una descripción completa del flujo de trabajo, incluida la cuenta de servicio asociada. Por ejemplo:

    createTime: '2020-06-05T23:45:34.154213774Z'
    name: projects/myProject/locations/us-central1/workflows/myWorkflow
    serviceAccount: projects/my-project/serviceAccounts/012345678901-compute@developer.gserviceaccount.com
    sourceContents: [...]

¿Qué sigue?