這個選項適用於公開 API 或網站的 Cloud Run 服務。
建立公開 Cloud Run 服務的方式有兩種:
停用 Cloud Run Invoker IAM 檢查
如要建立公開服務,建議停用 Cloud Run 叫用者 IAM 檢查。這項檢查預設為強制執行。 如果專案須遵守機構政策中的網域限定共用限制,這個方法就特別適用。
如要停用或重新啟用服務的 Invoker IAM 檢查,您必須具備下列權限:
run.services.createrun.services.updaterun.services.setIamPolicy
「擁有者」和「Cloud Run 管理員」角色都具備這些權限。請參閱 [Cloud Run IAM 角色][1],取得完整的角色清單和相關聯的權限。
停用 Cloud Run Invoker IAM 檢查
如要停用檢查:
控制台
如要設定新服務,請按一下「建立服務」,然後視需要填寫初始服務設定頁面。如要設定現有服務,請按一下該服務,然後按一下「安全性」。
取消勾選「使用 IAM 驗證傳入要求」。
按一下「建立」或「儲存」。
gcloud
如果是新服務,請使用
gcloud run deploy指令並加上--no-invoker-iam-check旗標:gcloud run deploy SERVICE_NAME --no-invoker-iam-check
其中
SERVICE_NAME是服務名稱。如為現有服務,請使用
gcloud run services update指令並加上--no-invoker-iam-check旗標:gcloud run services update SERVICE_NAME --no-invoker-iam-check
其中
SERVICE_NAME是服務名稱。
YAML
如要查看及下載設定,請按照下列步驟操作:
gcloud run services describe SERVICE --format export > service.yaml
更新
run.googleapis.com/invoker-iam-disabled:註解:apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/invoker-iam-disabled: true name: SERVICE_NAME
其中 SERVICE_NAME 是 Cloud Run 服務的名稱。
使用下列指令,以新設定取代服務:
gcloud run services replace service.yaml
部署完成後,請前往服務的 HTTPS 端點,確認檢查已停用。
重新啟用 Cloud Run Invoker IAM 檢查
如要重新啟用檢查,請按照下列步驟操作:
控制台
按一下服務,然後點選「安全性」。
選取「使用 IAM 驗證傳入要求」。
按一下 [儲存]。
gcloud
傳遞
--invoker-iam-check旗標來更新服務:gcloud run services update SERVICE_NAME --invoker-iam-check
其中
SERVICE_NAME是服務名稱。
YAML
如要查看及下載設定,請按照下列步驟操作:
gcloud run services describe SERVICE --format export > service.yaml
更新
run.googleapis.com/invoker-iam-disabled:註解:apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/invoker-iam-disabled: false name: SERVICE_NAME
其中 SERVICE_NAME 是 Cloud Run 服務的名稱。
部署完成後,請前往服務的 HTTPS 端點,確認檢查已重新啟用。
設定 Cloud Run 呼叫端 IAM 檢查的機構政策
如果您是管理員,可以使用 constraints/run.managed.requireInvokerIam 受管理限制,限制停用 Invoker IAM 檢查的功能。這項限制預設不會強制執行。
將 Cloud Run IAM 叫用者角色指派給 allUsers 成員類型
您可以將 Cloud Run 叫用者 IAM 角色指派給 allUsers 成員類型,藉此允許所有未經驗證的服務叫用。
您必須具備 run.services.setIamPolicy 權限,才能在 Cloud Run 服務上設定驗證。此權限包含在「擁有者」和「Cloud Run 管理員」角色中。請參閱 Cloud Run IAM 角色,取得完整的角色清單和相關聯的權限。
主控台使用者介面
如果是現有的 Cloud Run 服務:
前往 Google Cloud 控制台:
按一下要公開的服務左側的核取方塊。 (請勿點選服務本身)。
在右上角的資訊窗格中,按一下「權限」分頁標籤。如果資訊窗格未顯示,你可能需要按一下「顯示資訊面板」,然後按一下「權限」。
按一下「新增主體」。
在「New principals」(新增主體) 欄位中輸入值 allUsers
從「角色」下拉式選單中,選取「Cloud Run Invoker」角色。
按一下 [儲存]。
系統會提示您確認要將這項資源設為公開。按一下「允許公開存取」,即可將變更套用至服務 IAM 設定。
如要建立新服務,請建立服務,但請務必在「Authentication」(驗證) 分頁中選取「Allow unauthenticated invocations」(允許未經驗證的叫用),公開發布服務。選取「需要驗證」可將服務設為私人。
gcloud
如要公開服務,請使用 gcloud run services 指令將特別的 allUsers 成員類型新增到服務,並授予 roles/run.invoker 角色:
gcloud run services add-iam-policy-binding [SERVICE_NAME] \ --member="allUsers" \ --role="roles/run.invoker"
部署服務時,請執行 gcloud run deploy 指令,讓服務可公開存取:
gcloud run deploy [SERVICE_NAME] ... --allow-unauthenticated
YAML
建立名為 policy.yaml 的檔案,並在當中加入下列內容:
bindings:
- members:
- allUsers
role: roles/run.invoker
使用下列方式,允許現有 SERVICE 未經驗證的叫用:
gcloud run services set-iam-policy SERVICE policy.yaml
Terraform
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
在 Terraform 設定中,將下列項目新增至google_cloud_run_v2_service 資源:如要更新 roles/run.invoker 的服務 IAM 繫結,請新增下列資源,參照您的 Cloud Run 服務:
這項繫結只對指定角色具有授權效力。服務 IAM 政策中的其他 IAM 繫結會保留。