はじめに
この記事では以下のことについて説明しています。
- Cloud Run functions を認証付きで呼び出す方法
- Terraform で認証付きのCloud Run functions を構成する
以前の記事にて「公開」APIに対してAPIキーで認証を付与する方法について紹介しました。今回は Cloud Run functions に認証を付与して、呼び出し元を限定する方法について紹介します。
なぜこれをするのか?
実は今まで作ってきた ESPv2 Cloud Run サービス 経由で Cloud Run functions を呼び出す方法ですが、ESPv2 Cloud Run サービスのエンドポイントにはAPIキー認証が付与されていますが、Cloud Run functions のエンドポイントに直接アクセスしてもデータが取得できてしまいます。
Cloud Run functions を認証付きで呼び出すには?
ここまでの記事で全員が呼び出すことのできる Cloud Run functions の構成方法について紹介してきましたが、呼び出しに認証を付与することもできます。
認証のある関数は、
- その関数を呼び出すサービスアカウント、もしくはユーザアカウントが
- 関数を呼び出す権限を持っていて
- 関数を呼び出すときに ID トークンを提供する
これを満たすと呼び出せます。
と言うことで一回認証付きの関数リソースを作成しましょう。
Cloud Run functions を認証付きに修正する
resource "google_cloud_run_v2_service_iam_member" "member" {
project = local.project
name = google_cloudfunctions2_function.default.name
location = google_cloudfunctions2_function.default.location
role = "roles/run.invoker"
# member = "allUsers"
# 認証付きの関数を呼び出せるサービスアカウントを限定
member = "serviceAccount:${data.google_project.project.number}-compute@developer.gserviceaccount.com"
}
こうすることで、ESPv2 Cloud Run サービス経由で Cloud Run functions にアクセスすることはできますが、Cloud Run functions のエンドポイントには直接アクセスできないようになりました。
引用:https://cloud.google.com/endpoints/docs/openapi/set-up-cloud-functions-espv2
試しに Cloud Run functions のエンドポイントを直接呼び出してみます。
$ curl https://xxx.a.run.app
<html><head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<title>403 Forbidden</title>
</head>
<body text=#000000 bgcolor=#ffffff>
<h1>Error: Forbidden</h1>
<h2>Your client does not have permission to get URL <code>/</code> from this server.</h2>
<h2></h2>
</body></html>
きちんと403エラーが発生していますね。
認証つきの関数を呼び出す方法
以下の三つの方法があります。
- 認証付き関数を呼び出すことのできるIAMを呼び出し元のサービスアカウントに付与する(紹介済み)
- Authorization ヘッダーにIDトークンを含めてリクエストする
- Google Auth クライアント ライブラリ を使用して呼び出す
ここでは後半の2つの方法について説明します。
(注意:ローカルで認証付きエンドポイント自体を立ち上げる方法はありません。認証付き関数をデプロイしてそれを呼び出すようにしましょう。)
Authorization ヘッダーにIDトークンを含めてリクエストする
以下を実行します。注意としては、gcloud CLIを実行するアカウントが Cloud Run functions の呼び出しロール(roles/run.invoker
)を持つ必要があります。
curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" \
[Cloud Run functions のエンドポイント]
Google Auth クライアント ライブラリを利用して呼び出す。
以下の手順を踏襲したコードを書きます。
- audience フィールド(aud)に受信側関数の URL を設定して
- Google によって署名された ID トークンを作成し
- 関数に対するリクエストの Authorization: Bearer ID_TOKEN ヘッダーに ID トークンを含めて呼び出す
これを実現する上でGoogleの認証クライアントライブラリが必要です。Node.js用のライブラリは以下になります。
npm install google-auth-library
実際に呼び出すコード auth-test.ts
を作成します。プロジェクトルートに配置します。
呼び出すURLと targetAudience
は必ず同じにしましょう。
import { GoogleAuth } from 'google-auth-library';
const auth = new GoogleAuth();
const targetAudience = `https://${process.env.REGION}-${process.env.PROJECT}.cloudfunctions.net/${process.env.auth}`;
const url = targetAudience; // Cloud Run functions では url = targetAudience にする
export const authRequest = async () => {
console.info(`request ${url} with target audience ${targetAudience}`);
const client = await auth.getIdTokenClient(targetAudience);
try {
const res = await client.request({url});
console.info(res.data);
} catch (e: unknown) {
console.error(e);
process.exitCode = 1;
}
}
await authRequest();
ローカルでの環境変数は、別途環境変数ファイル .env.yml
を読み込むことで設定/取得します。
REGION=リージョン
PROJECT=プロジェクト名
AUTH_FUNC=関数名
この環境変数をnpmスクリプト起動時に読み込んでもらえるようにします。
npm install --save-dev env-cmd
"scripts": {
"auth-test": "env-cmd -f ./.env.yml tsx auth-test.ts",
},
実行してみましょう。
$ npm run auth-test
> advent-calendar-2024@1.0.0 auth-test
> env-cmd -f ./.env.yml tsx ./src/auth.ts
request https://xxx.cloudfunctions.net/sample-crf with target audience https://xxx.cloudfunctions.net/sample-crf
Hello, World!
呼び出しに成功しましたね。環境変数ファイルはきっちり .gitignore
に記載しておくのを忘れずに。
終わりに
認証ありの Cloud Run functions の呼び出し方とその必要性について説明しました。結論、認証はつけとこうぜって言う話です。
参考
認証付き Cloud Run functions を呼び出す Colabo チュートリアル
ローカルで認証付き Cloud Run functions 関数を呼ぶ方法