Il controllo dell'accesso determina chi dispone dell'autorizzazione per accedere a servizi e risorse in un progetto Google Cloud. In App Engine esistono alcuni casi d'uso separati per l'impostazione del controllo dell'accesso dell'accesso:
Concedere ai membri del team l'accesso al tuo progetto Google Cloud in modo che possano configurare servizi ed eseguire il deployment delle app.
Concedere all'app l'accesso ai servizi Google Cloud, ad esempio Cloud Storage. Tutti i servizi Cloud richiedono autenticazione e autorizzazione per ogni chiamata API, incluse le chiamate dall'app App Engine.
Concedere agli utenti l'accesso alle risorse in un progetto Google Cloud. Sebbene questo caso d'uso non sia comune, potrebbero verificarsi casi in cui la tua app deve richiedere l'accesso a una risorsa Cloud per conto di un utente. Ad esempio, l'app potrebbe dover accedere a dati che appartengono ai tuoi utenti.
Questa pagina fornisce una panoramica della configurazione del controllo dell'accesso in ciascun caso d'uso.
Per informazioni di base su come Google Cloud Platform gestisce il controllo dell'accesso, consulta la panoramica di Identity and Access Management (IAM).
Concessione dell'accesso ai membri del team
Per concedere a uno sviluppatore l'accesso al tuo progetto Google Cloud, crea una o entrambe le seguenti opzioni:
Un account utente, associato a un Account Google e destinato a rappresentare una persona specifica del tuo progetto.
Un account utente può essere utilizzato per l'autenticazione dai seguenti strumenti:
- Console Google Cloud
- Google Cloud CLI
- IDE e strumenti di creazione che utilizzano gcloud CLI per testare ed eseguire il deployment delle app di App Engine
Un account di servizio, destinato a rappresentare un'applicazione o un processo anziché una persona. Utilizza gli account di servizio nei processi automatizzati di build, test e deployment, soprattutto se più sviluppatori possono eseguire questi processi.
Un account di servizio può essere utilizzato per l'autenticazione dai seguenti strumenti:
- Interfaccia a riga di comando gcloud
- IDE e strumenti di creazione che utilizzano gli strumenti gcloud CLI per testare ed eseguire il deployment delle app di App Engine
Creazione di un account utente
Apri la pagina IAM nella console Google Cloud.
Fai clic su Seleziona un progetto, scegli un progetto e fai clic su Apri.
Fai clic su Aggiungi.
Inserisci un indirizzo email.
Seleziona ruoli che concedono l'accesso alle funzionalità di App Engine.
Se l'utente ha bisogno di accedere anche ad altri servizi Cloud, seleziona i ruoli che consentono l'accesso ad altri servizi Cloud.
Fai clic su Salva.
L'utente può ora accedere alla console Google Cloud e autorizzare gcloud CLI.
Puoi creare account utente anche da gcloud, dall'API REST o dalle librerie client.
Creazione di un account di servizio
Apri la pagina Account di servizio nella console Google Cloud.
Seleziona il progetto e fai clic su Apri.
Fai clic su Crea account di servizio.
Inserisci un nome per l'account di servizio. Deve essere un nome facile da usare per la visualizzazione.
Fai clic su Crea.
Seleziona ruoli che concedono l'accesso alle funzionalità di App Engine.
Se l'account di servizio ha bisogno di accedere anche ad altri servizi Cloud, seleziona i ruoli che concedono l'accesso ad altri servizi Cloud.
Fai clic su Continua.
(Facoltativo) Specifica gli account utente che possono gestire l'account di servizio. Puoi anche specificare gli account utente che possono utilizzare l'account di servizio per accedere indirettamente a tutte le risorse a cui ha accesso l'account di servizio.
Fai clic su Salva.
Viene visualizzato un elenco degli account di servizio esistenti.
Facoltativamente, se devi utilizzare il tuo account di servizio al di fuori di Google Cloud, segui le istruzioni per creare una chiave dell'account di servizio.
Passaggi successivi
- Se utilizzi l'account di servizio nei processi automatizzati di creazione e deployment, autorizza gcloud CLI con un account di servizio.
- Se utilizzi l'account di servizio con un IDE, segui le istruzioni fornite dall'IDE.
- Se devi utilizzare un'identità univoca per una versione della tua app App Engine quando accedi ad altri servizi Google Cloud o esegui attività, puoi specificare un account di servizio gestito dall'utente in App Engine.
Concessione dell'accesso alla tua app ai servizi Cloud
Ogni chiamata a un servizio Cloud deve essere autenticata e autorizzata, comprese le chiamate da un'app App Engine ad altri servizi Cloud come Cloud Storage.
Per impostazione predefinita, le chiamate dalla tua app App Engine ai servizi nello stesso progetto sono autorizzate. Ecco come funziona il flusso predefinito:
Per avviare le chiamate a un servizio Cloud, l'app crea un oggetto client contenente le credenziali e altri dati necessari per consentire all'app di interagire con il servizio. Se non specifichi le credenziali nel costruttore del client, quest'ultimo cerca le credenziali nell'ambiente dell'app.
Ecco un esempio di creazione di un client per Cloud Storage:
Go
Java
Node.js
PHP
Python
Ruby
- Per impostazione predefinita, l'ambiente dell'app contiene le credenziali dell'account di servizio predefinito di App Engine.
Questo account di servizio viene creato da Google quando crei un'app App Engine e ti vengono concesse autorizzazioni complete per gestire e utilizzare tutti i servizi Cloud in un progetto Google Cloud.
Puoi eseguire l'override di questo flusso predefinito in uno dei seguenti modi:
Imposta la variabile di ambiente
GOOGLE_APPLICATION_CREDENTIALS
. Se questa variabile è impostata, i servizi Cloud utilizzano le credenziali specificate dalla variabile anziché l'account di servizio predefinito.Specifica le credenziali quando crei un'istanza dell'oggetto
Client
per un servizio cloud. Ad esempio, se la tua app chiama un servizio Cloud in un progetto diverso, potresti dover passare manualmente le credenziali.
- Archivia le tue credenziali in un luogo sicuro come Firestore in modalità Datastore (Datastore) e recuperale in fase di runtime.
- Mantieni le credenziali nel codice, ma criptale con un archivio chiavi, come Cloud KMS.
Per informazioni sui vantaggi di ciascun approccio, consulta Scelta di una soluzione di gestione dei secret.
Concessione dell'accesso alle risorse Cloud agli utenti
Se vuoi che la tua app legga i dati utente da un altro servizio Google, devi configurare OAuth 2.0 per applicazioni server web. Ad esempio, se desideri estrarre i dati di un utente da Google Drive e importarli nella tua app, utilizza OAuth 2.0 per le applicazioni server web per condividere dati specifici e mantenere privati altri dati, come nomi utente e password.
Delega dell'autorità a livello di dominio Google Workspace
Se hai un dominio Google Workspace (in precedenza G Suite), un amministratore del dominio può autorizzare un'applicazione ad accedere ai dati utente per conto degli utenti del dominio Google Workspace. Ad esempio, un'applicazione che utilizza l'API Google Calendar per aggiungere eventi ai calendari di tutti gli utenti di un dominio Google Workspace utilizza un account di servizio per accedere all'API Google Calendar per conto degli utenti.
L'autorizzazione di un account di servizio ad accedere ai dati per conto degli utenti di un dominio è talvolta definita "autorità delega a livello di dominio" a un account di servizio. Questo metodo utilizza ancora OAuth 2.0 e richiede che un amministratore di dominio di Google Workspace autorizza l'account di servizio a livello di dominio.
Specifica di un account di servizio
App Engine consente di utilizzare due tipi di account di servizio:
L'account di servizio predefinito di App Engine è l'identità predefinita per tutte le versioni dell'app App Engine se non è specificato un account di servizio gestito dall'utente.
A seconda della configurazione dei criteri dell'organizzazione, all'account di servizio predefinito potrebbe essere concesso automaticamente il ruolo Editor per il progetto. Ti consigliamo vivamente di disabilitare la concessione automatica del ruolo applicando il vincolo
iam.automaticIamGrantsForDefaultServiceAccounts
del criterio dell'organizzazione. Se hai creato la tua organizzazione dopo il 3 maggio 2024, questo vincolo viene applicato per impostazione predefinita.Se disabiliti la concessione automatica dei ruoli, devi decidere quali ruoli concedere agli account di servizio predefiniti e poi concedere questi ruoli autonomamente.
Se l'account di servizio predefinito ha già il ruolo Editor, ti consigliamo di sostituire quest'ultimo con ruoli meno permissivi. Per modificare in modo sicuro i ruoli dell'account di servizio, utilizza il Simulatore di criteri per vedere l'impatto della modifica, quindi concedi e revoca i ruoli appropriati.
L'account di servizio gestito dall'utente è un account di servizio che crei in Identity and Access Management (IAM). Puoi specificare un account di servizio gestito dall'utente per una versione, che verrà utilizzato quando accedi ad altri servizi App Engine ed esegui attività per quella versione.