Configurazione delle autorizzazioni

Questo argomento mostra come configurare le autorizzazioni e le credenziali necessarie per chiamare l'API Cloud Asset Inventory.

Autenticazione

Prima di poter chiamare l'API Cloud Asset Inventory, devi autenticarti come utente finale o come account di servizio. Per ulteriori informazioni sull'autenticazione, consulta la Panoramica dell'autenticazione.

Concedere le autorizzazioni richieste per gcloud CLI

Per utilizzare gcloud CLI per accedere all'API Cloud Asset Inventory, devi concedere le autorizzazioni necessarie all'elemento padre della risorsa di destinazione, che può essere un'organizzazione, un progetto o una cartella. Devi specificare questo elemento padre nel campo parent delle richieste API.

Se il tuo account dispone del ruolo Proprietario asset Cloud (roles/cloudasset.owner) o del ruolo Proprietario di base (roles/owner) per l'elemento padre della risorsa, ha autorizzazioni sufficienti per chiamare l'API Cloud Asset Inventory. Puoi passare direttamente alla sezione Download delle credenziali. Per ulteriori informazioni sui ruoli di Cloud Asset Inventory, consulta Ruoli.

Concessione dei ruoli in corso…

Per concedere un ruolo a un account, completa i passaggi seguenti con Google Cloud CLI. Scopri come installare e inizializzare gcloud CLI.

Account utente

Per concedere i ruoli necessari a un account utente, completa la procedura seguente.

Per accedere con il tuo account utente, esegui questo comando.
```
gcloud auth login USER_ACCOUNT_EMAIL
```
Concedi al tuo account utente il ruolo Visualizzatore Cloud Asset (roles/cloudasset.viewer) o il ruolo Proprietario asset Cloud (roles/cloudasset.owner) nella risorsa principale (principale). Questo progetto può essere il progetto in cui è abilitata l'API Cloud Asset Inventory.

Per concedere al tuo account utente il ruolo Visualizzatore Cloud Asset, esegui questo comando.
```
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member user:USER_ACCOUNT_EMAIL \
    --role roles/cloudasset.viewer
```
Puoi aggiungere il flag --billing-project al comando gcloud asset per specificare il progetto di fatturazione in cui è abilitata l'API Cloud Asset Inventory.
```
--billing-project PROJECT_ID
```
Se specifichi questo flag, il tuo account deve avere l'autorizzazione serviceusage.services.use per il progetto PROJECT_ID. Consulta la sezione Informazioni sui ruoli per un elenco dei ruoli predefiniti che includono questa autorizzazione.

Account di servizio

Per concedere i ruoli necessari a un account di servizio, completa i passaggi seguenti. Per saperne di più sugli account di servizio, consulta Creazione e gestione degli account di servizio.

Per creare un nuovo account di servizio, esegui questo comando. Se hai già un account di servizio in un progetto in cui è abilitata l'API Cloud Asset Inventory, puoi saltare questo passaggio.
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
    --display-name "SERVICE_ACCOUNT_DISPLAY_NAME"
```
Concedi al tuo account di servizio il ruolo Visualizzatore Cloud Asset (roles/cloudasset.viewer) o il ruolo Proprietario asset Cloud (roles/cloudasset.owner) nella risorsa principale (principale). Questo progetto può essere uguale al progetto in cui è abilitata l'API Cloud Asset Inventory.

Per concedere al tuo account di servizio il ruolo Visualizzatore Cloud Asset, esegui questo comando.
```
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role roles/cloudasset.viewer
```