Il controllo dell'accesso determina chi è autorizzato ad accedere a servizi e risorse in un progetto Google Cloud. In App Engine esistono alcuni casi d'uso distinti per la configurazione del controllo dell'accesso:
Concedere ai membri del team l'accesso al tuo progetto Google Cloud affinché possono configurare servizi ed eseguire il deployment di app.
Concedere all'app l'accesso ai servizi Google Cloud, come Cloud Storage. Tutti i servizi Cloud richiedono l'autenticazione e l'autorizzazione per ogni chiamata all'API, incluse le chiamate dall'app App Engine.
Concedere agli utenti l'accesso alle risorse di un progetto Google Cloud. Sebbene questo caso d'uso non sia comune, potrebbero verificarsi casi in cui la tua app necessita di per richiedere l'accesso a una risorsa Cloud per conto di un utente. Ad esempio, la tua app potrebbe dover accedere ai dati di proprietà dei tuoi utenti.
Questa pagina fornisce una panoramica della configurazione del controllo dell'accesso in ciascun caso d'uso.
Per informazioni di base su come Google Cloud Platform gestisce il controllo dell'accesso, consulta la panoramica di Identity and Access Management (IAM).
Concedere l'accesso ai membri del team
Per concedere a uno sviluppatore l'accesso al tuo progetto Google Cloud, creane uno o entrambe le seguenti opzioni:
Un account utente, associato a un Account Google e ha lo scopo di rappresentare una persona specifica del tuo progetto.
Un account utente può essere utilizzato per l'autenticazione dai seguenti strumenti:
- Console Google Cloud
- Google Cloud CLI
- IDE e strumenti di creazione che utilizzano gcloud CLI per i test e il deployment App di App Engine
Un account di servizio destinato a rappresentare un un'applicazione o un processo anziché una persona. Utilizza gli account di servizio nelle processi di compilazione, test e deployment automatizzati, soprattutto gli sviluppatori possono eseguire questi processi.
Un account di servizio può essere utilizzato per l'autenticazione dai seguenti strumenti:
- Interfaccia a riga di comando gcloud
- IDE e strumenti di compilazione che utilizzano gli strumenti gcloud CLI per testare ed eseguire il deployment delle app App Engine
Creazione di un account utente
Apri la pagina IAM nella console Google Cloud.
Fai clic su Seleziona un progetto, scegli un progetto e fai clic su Apri.
Fai clic su Aggiungi.
Inserisci un indirizzo email.
Seleziona ruoli che concedono l'accesso ad App Engine funzionalità.
Se l'utente ha bisogno di accedere anche ad altri servizi Cloud, seleziona i ruoli che e concedere l'accesso ad altri servizi Cloud.
Fai clic su Salva.
L'utente può ora accedere alla console Google Cloud e autorizzare gcloud CLI.
Puoi anche creare account utente da gcloud, l'API REST o librerie.
Creazione di un account di servizio
Apri la pagina Account di servizio nella console Google Cloud.
Seleziona il progetto e fai clic su Apri.
Fai clic su Crea account di servizio.
Inserisci un nome per l'account di servizio. Deve essere un nome semplice da visualizzare.
Fai clic su Crea.
Seleziona i ruoli che concedono l'accesso alle funzionalità di App Engine.
Se l'account di servizio ha bisogno di accedere anche ad altri servizi Cloud, seleziona i ruoli che concedono l'accesso ad altri servizi Cloud.
Fai clic su Continua.
Se vuoi, specifica gli account utente che possono gestire l'account di servizio. Puoi anche specificare gli account utente che possono utilizzare l'account di servizio per accedere indirettamente a tutte le risorse a cui ha accesso l'account di servizio.
Fai clic su Salva.
Viene visualizzato un elenco degli account di servizio esistenti.
Facoltativamente, se devi utilizzare l'account di servizio al di fuori Google Cloud, segui le istruzioni per crea una chiave dell'account di servizio.
Passaggi successivi
- Se utilizzi l'account di servizio nelle procedure di compilazione e deployment automatiche, autorizza l'interfaccia a riga di comando gcloud con un account di servizio.
- Se utilizzi l'account di servizio con un IDE, segui le istruzioni forniti dall'IDE.
- Se devi utilizzare un'identità unica per una versione della tua app App Engine quando accedi ad altri servizi Google Cloud o esegui attività, puoi specificare un account di servizio gestito dall'utente in App Engine.
Concedere all'app l'accesso ai servizi Cloud
Ogni chiamata a un servizio cloud deve essere autenticata e autorizzata, incluse le chiamate da un'app App Engine ad altri servizi cloud come Cloud Storage.
Per impostazione predefinita, le chiamate dalla tua app App Engine ai servizi nella stessa progetto sono autorizzati. Ecco come funziona il flusso predefinito:
Per avviare le chiamate a un servizio Cloud, la tua app crea un oggetto client, contenente le credenziali e altri dati con cui l'app deve interagire il servizio. Se non specifichi le credenziali nel costruttore del client, il client le cerca nell'ambiente dell'app.
Ecco un esempio di creazione di un client per Cloud Storage:
Go
Java
Node.js
PHP
Python
Ruby
C#
- Per impostazione predefinita, l'ambiente dell'app contiene le credenziali dell'account di servizio App Engine predefinito.
Questo account di servizio viene creato da Google quando crei un'app Engine e dispone di autorizzazioni complete per gestire e utilizzare tutti i servizi Cloud di un progetto Google Cloud.
Puoi eseguire l'override di questo flusso predefinito in uno dei seguenti modi:
Imposta la variabile di ambiente
GOOGLE_APPLICATION_CREDENTIALS
. Se questa variabile è impostata, i servizi cloud utilizzano le credenziali specificate dalla variabile anziché l'account di servizio predefinito.Specifica le credenziali quando crei un'istanza dell'oggetto
Client
per un servizio cloud. Ad esempio, se la tua app chiama un servizio Cloud in un altro progetto, potrebbe essere necessario trasmettere le credenziali manualmente.
- Memorizza le tue credenziali in una posizione sicura, ad esempio Firestore in modalità Datastore (Datastore), e recuperale in fase di esecuzione.
- Mantieni le credenziali nel codice, ma criptale con un archivio chiavi, come di Cloud KMS.
Per conoscere i vantaggi di ciascun approccio, vedi Scelta di una soluzione di gestione dei secret.
Concedere agli utenti l'accesso alle risorse Cloud
Se vuoi che la tua app legga i dati utente di un altro servizio Google, dovrai configurare OAuth 2.0 per applicazioni server web. Ad esempio, se vuoi estrarre i dati di un utente da Google Drive e importarli nella tua app, utilizza OAuth 2.0 per le applicazioni di server web per condividere dati specifici mantenendo privati altri dati, come nomi utente e password.
Delega dell'autorità a livello di dominio Google Workspace
Se hai un dominio Google Workspace (precedentemente noto come G Suite), un amministratore di il dominio può autorizzare un'applicazione ad accedere ai dati utente per conto degli utenti. nel dominio Google Workspace. Ad esempio, un'applicazione che utilizza l'API Google Calendar per aggiungere eventi ai calendari di tutti gli utenti in un Google Workspace userebbe un account di servizio per accedere ai API Calendar per conto degli utenti.
L'autorizzazione di un account di servizio ad accedere ai dati per conto degli utenti di un dominio è talvolta indicata come "delega dell'autorità a livello di dominio" a un account di servizio. Questa operazione utilizza ancora OAuth 2.0 e richiede un dominio Google Workspace amministratore di autorizzare a livello di dominio l'autorità a utilizzare il servizio Google Cloud.
Specifica un account di servizio
App Engine consente di utilizzare due tipi di account di servizio:
- Account di servizio per versione: un account di servizio configurato come identità per una versione specifica del servizio di cui è stato eseguito il deployment. Quando esegui il deployment di una versione esistente o di una nuova versione, puoi specificare un account di servizio che fungerà da identità della versione. Ad esempio, se una versione richiede autorizzazioni diverse dall'account di servizio predefinito a livello di app, puoi assegnare un account di servizio specifico di quella versione. Per ulteriori informazioni, consulta Configurare gli account servizio App Engine.
Account di servizio predefinito a livello di app: se non configuri un account di servizio per versione, Google Cloud utilizza l'account di servizio predefinito a livello di app per tutti i servizi di cui hai eseguito il deployment. Assegna l'impostazione predefinita a livello di app l'account di servizio quando crei l'app. Per ulteriori informazioni, vedi Assegna un account di servizio predefinito a livello di app.
Se non assegni un account di servizio predefinito a livello di app, Google Cloud utilizza il servizio predefinito di App Engine creato automaticamente account. (
PROJECT_ID@appspot.gserviceaccount.com
).A seconda della configurazione dei criteri dell'organizzazione, l'account di servizio predefinito potrebbe automaticamente il ruolo Editor progetto. Ti consigliamo vivamente di disattivare la concessione automatica dei ruoli applicando il vincolo
iam.automaticIamGrantsForDefaultServiceAccounts
delle norme dell'organizzazione. Se hai creato la tua organizzazione dopo il 3 maggio 2024, viene applicato per impostazione predefinita.Se disabiliti la concessione automatica del ruolo, devi decidere quali ruoli concedere a quelli predefiniti account di servizio e poi concedi ruoli.
Se l'account di servizio predefinito ha già il ruolo Editor, ti consigliamo di sostituire il valore Ruolo di Editor con ruoli meno permissivi. Per modificare in sicurezza i ruoli dell'account di servizio, utilizza Policy Simulator per vedere l'impatto della modifica, quindi concedi e revoca i ruoli appropriati.