為叫用進行驗證

本文件提供額外資訊，說明如何叫用使用 Cloud Functions v2 API 建立的函式，例如使用 gcloud functions、REST API 或 Terraform。如需詳細資訊和範例，請參閱 Cloud Run 的「驗證要求」指南。Cloud Run 指南中涵蓋的主題也適用於使用 Cloud Functions v2 API 建立的函式，因為 v2 函式也會使用 Cloud Run 調用者角色 (roles/run.invoker)。

如要叫用已驗證的函數，基礎主體必須符合下列條件：

• 具備叫用函式的權限。
• 在叫用函式時提供 ID 權杖。

Cloud Run 函式支援兩種不同的身分，也稱為原則實體：

• 服務帳戶：這是一種特殊帳戶，可做為非人類身分的身分，例如函式、應用程式或 VM。這些屬性可讓您驗證非人類。
• 使用者帳戶：這些帳戶代表使用者，可能是個別 Google 帳戶持有人，或是 Google 控管實體 (例如 Google 群組) 的一部分。

請參閱身分與存取權管理總覽，進一步瞭解基本身分與存取權管理概念。

如要叫用已驗證的函式，主體必須具備叫用者 IAM 權限：

• run.routes.invoke。這通常是透過 Cloud Run 叫用者角色。必須在 Cloud Run 服務資源上指派這項權限。

如要授予這些權限，請按照 Cloud Run「服務對服務驗證」指南中的步驟操作。

如要取得在函式上建立、更新或執行其他管理動作的權限，主體必須具備適當的角色。角色包含權限，可定義主體可執行的動作。詳情請參閱「使用 IAM 授予存取權」。

事件驅動函式只能由訂閱的事件來源叫用。不過，HTTP 函式可以由不同來源的不同身分類型叫用，例如由測試函式的開發人員或使用函式的其他服務叫用。身分必須提供 ID 權杖進行驗證。使用中的帳戶也必須具備適當權限。