Emissione di certificati che attestano l'identità di terze parti

Questo tutorial mostra come emettere certificati che attestino un'identità di terze parti utilizzando riflesso dell'identità e pool di identità del carico di lavoro.

Puoi utilizzare il riflessione dell'identità per creare certificati che corrispondono all'identità verificata di un richiedente del certificato. Utilizzando il riflesso dell'identità, puoi limitare un richiedente del certificato senza privilegi a richiedere solo certificati con un nome alternativo del soggetto (SAN) corrispondente all'identità nelle sue credenziali.

Obiettivi

Questo tutorial fornisce informazioni su come utilizzare CA Service con pool di identità per i carichi di lavoro per federare un'identità di terze parti e ottenere un certificato che attesti questa identità.

Prima di iniziare

Prima di iniziare, assicurati di comprendere i seguenti concetti:

Pool di identità per carichi di lavoro: i pool di identità per i carichi di lavoro consentono di gestire provider di identità di terze parti. Per maggiori informazioni, consulta Gestire provider e pool di identità per i carichi di lavoro.
Federazione delle identità per i carichi di lavoro: la federazione delle identità per i carichi di lavoro sfrutta i pool di identità dei carichi di lavoro per concedere alle identità di terze parti l'accesso ai servizi Google Cloud. Per ulteriori informazioni, consulta Federazione delle identità per i carichi di lavoro.
Security Token Service (STS): il servizio token di sicurezza consente di scambiare credenziali di terze parti con token proprietari (Google Cloud). Per ulteriori informazioni, consulta la pagina Security Token Service (Servizio token di sicurezza).
Stato dell'identità: la funzionalità di riflessione dell'identità consente all'identità verificata di un richiedente di ottenere il certificato di accesso al certificato richiesto. Per ulteriori informazioni, consulta riflesso sull'identità.

Assicurati di disporre dei seguenti ruoli IAM:

Per gestire le autorità di certificazione (CA) e i pool di CA e richiedere i certificati, devi avere il ruolo Gestore operazioni del servizio CA (privateca.caManager). Per ulteriori informazioni sui ruoli IAM per CA Service, consulta Controllo dell'accesso con IAM.
Per gestire i provider e i pool di identità per i carichi di lavoro, devi avere il ruolo Amministratore pool di identità per carichi di lavoro (iam.workloadIdentityPoolAdmin).
Per creare un account di servizio, devi avere il ruolo Amministratore account di servizio (iam.serviceAccountAdmin).

Per informazioni sulla concessione dei ruoli IAM, consulta Gestire l'accesso a progetti, cartelle e organizzazioni. Puoi concedere i ruoli IAM richiesti a un Account Google, un account di servizio, un gruppo Google, un account Google Workspace o un dominio Cloud Identity.

Configura un provider e un pool di identità per i carichi di lavoro

Questo tutorial spiega come utilizzare un provider Google OpenID Connect (OIDC) combinato con un account di servizio per fungere da identità di terze parti. Il provider OIDC degli Account Google agisce come provider di identità di terze parti (IdP) e l'account di servizio Google Cloud è un'identità di terze parti di esempio dichiarata da questo IdP.

I pool di identità per i carichi di lavoro supportano una vasta gamma di provider di identità, tra cui Microsoft Azure/Active Directory in loco, AWS e provider di identità basati su SAML.

Per configurare un pool di identità per i carichi di lavoro e un provider, segui questi passaggi: 1. Per rappresentare un insieme attendibile di identità federate, crea un pool di identità per i carichi di lavoro:

```
gcloud iam workload-identity-pools create IDENTITY_POOL_ID --location global --display-name "tutorial-wip"
```

Replace the following:

- <var>IDENTITY_POOL_ID</var>: The unique identifier of the new workload
  identity pool.

Crea un provider di pool di identità per i carichi di lavoro per il provider di identità di terze parti:
```
gcloud iam workload-identity-pools providers create-oidc PROVIDER_ID --location global --workload-identity-pool IDENTITY_POOL_ID --display-name "tutorial-oidc" --attribute-mapping "google.subject=assertion.sub" --issuer-uri="https://accounts.google.com"
```
Sostituisci quanto segue:
- PROVIDER_ID: l'identificatore univoco del provider di identità che vuoi creare nel pool di identità per i carichi di lavoro.
Puoi personalizzare i seguenti flag in base al tuo caso d'uso:
- attribute-mapping: questo flag imposta la mappatura tra le rivendicazioni di terze parti e la rivendicazione dell'entità Google, google.subject. google.subject è una mappatura obbligatoria che puoi impostare su qualsiasi rivendicazione o combinazione di rivendicazioni utilizzando un'espressione CEL. Per ulteriori informazioni, consulta Definire una mappatura e una condizione degli attributi.
- issuer-uri: per i provider OIDC, questo flag è un endpoint accessibile pubblicamente a cui Google contatta per la verifica di token di terze parti. Per maggiori informazioni, consulta Preparazione di un provider di identità esterno.
Per ulteriori informazioni sulla configurazione di un provider di identità per i carichi di lavoro, consulta Configurazione della federazione delle identità per i carichi di lavoro.

Crea un pool di CA e una CA emittente

Questa sezione spiega come creare un pool di CA e aggiungere una CA radice. Puoi utilizzare questo pool di CA per emettere certificati basati sull'identità. Se vuoi utilizzare un pool di CA e una CA esistenti, puoi saltare questa sezione.

Anziché una CA radice, puoi anche scegliere di creare una CA subordinata. La creazione di una CA radice consente di abbreviare la procedura.

Crea un pool di CA nel livello DevOps:
```
gcloud privateca pools create CA_POOL_ID --location LOCATION --tier devops
```
Sostituisci quanto segue:
- CA_POOL_ID: l'ID del pool di CA del servizio CA che emette i certificati.
- LOCATION: la località del pool di CA.
Per saperne di più sulla creazione di pool di CA, consulta Creare un pool di CA.
Crea una CA radice:
```
gcloud privateca roots create CA_ID --pool CA_POOL_ID  --location LOCATION --subject "CN=test,O=test-org"
```
Sostituisci quanto segue:
- CA_ID: l'ID dell'autorità di certificazione che rilascia i certificati.
- CA_POOL_ID: l'ID del pool di CA del servizio CA che emette i certificati.
- LOCATION: la località del pool di CA.
Per ulteriori informazioni sulla creazione di una CA radice, consulta Creare una CA radice.
Abilita le identità federate dal pool di identità per i carichi di lavoro per emettere certificati dal pool di CA. Il riflesso dell'identità richiede il ruolo IAM Richiedente certificato per carichi di lavoro del servizio CA (roles/privateca.workloadCertificateRequester) per i richiedenti di CreateCertificate.

Puoi rappresentare le entità dei pool di identità per i carichi di lavoro in varie granularità, da un singolo soggetto a tutte le identità nel pool tra i provider. Per saperne di più, consulta le entità o i set di entità disponibili (utilizza la scheda Google Cloud CLI) più adatti al tuo caso d'uso.

Nota: non è necessario impersonare un account di servizio per contattare CA Service.
```
gcloud privateca pools add-iam-policy-binding CA_POOL_ID --location LOCATION --role roles/privateca.workloadCertificateRequester --member "principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/*"
```
Sostituisci quanto segue:
- PROJECT_NUMBER: il numero del progetto in cui hai creato il pool di identità per i carichi di lavoro.

Crea un account di servizio che rappresenta un'identità di terze parti

La procedura seguente presuppone che un account di servizio rappresenti una terza parte. Questa sezione mostra come utilizzare l'endpoint IAM GenerateIdToken per recuperare un'identità di terze parti sotto forma di token OIDC. A seconda del tuo caso d'uso, potresti dover svolgere passaggi diversi per ottenere il token di identità di terze parti di tua scelta.

gcloud iam service-accounts create SERVICE_ACCOUNT

Sostituisci quanto segue:

SERVICE_ACCOUNT: l'ID dell'account di servizio che rappresenta l'identità di terze parti.

Emetti un certificato che attesti un'identità di terze parti

Prima di iniziare, assicurati di disporre del ruolo IAM Creatore token account di servizio (roles/iam.serviceAccountTokenCreator). Questo ruolo IAM è necessario per chiamare l'API GenerateIdToken.

Per ottenere un certificato che attesti un'identità di terze parti:

Richiedi un token di identità di terze parti al tuo provider di identità.
arricciatura
Nota: per eseguire questo comando, è necessario l'interfaccia a riga di comando python3.
```
export ID_TOKEN=`curl -d '{"audience":"//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/providers/PROVIDER_ID"}' -H 'Content-Type: application/json' -H "Authorization: Bearer $(gcloud auth print-access-token)" https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com:generateIdToken | python3 -c "import sys;import json;print(json.load(sys.stdin)['token'])"`
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto Google Cloud in cui vuoi creare le risorse.
Librerie client
Nota: questo flusso richiede le librerie client basate su Python per CA Service. Per informazioni sull'installazione delle librerie client basate su Python, consulta Client Python per CA Service

Per accedere al token di terze parti in modo programmatico, puoi ottenere un token da una credenziale basata su file o da una credenziale basata sull'URL. Per maggiori informazioni, consulta Autenticazione tramite librerie client, gcloud CLI o Terraform. In questo tutorial, seguiamo un flusso di lavoro delle credenziali di origine file.

Carica la credenziale in un percorso leggibile dal richiedente del certificato:
```
curl -d '{"audience":"//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/providers/PROVIDER_ID"}' -H 'Content-Type: application/json' -H "Authorization: Bearer $(gcloud auth print-access-token)" https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com:generateIdToken | python3 -c "import sys;import json;       print(json.load(sys.stdin)['token']) > /tmp/oidc_token.txt
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto in cui vuoi creare le risorse.

Scambia il tuo token di terze parti con un token OAuth federato utilizzando l'endpoint STS token:

arricciatura

export STS_TOKEN=`curl -L -X POST 'https://sts.googleapis.com/v1/token' -H 'Content-Type: application/json' \
-d '{
    "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
    "audience": "//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/providers/PROVIDER_ID",
    "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
    "scope": "https://www.googleapis.com/auth/cloud-platform",
    "subject_token": "'$ID_TOKEN'",
    "subject_token_type": "urn:ietf:params:oauth:token-type:jwt"
}' | python3 -c "import sys;import json; print(json.load(sys.stdin)['access_token'])"`

Librerie client

Crea un file di configurazione delle credenziali denominato oidc_token.txt che il codice che richiede il certificato può leggere per eseguire uno scambio di token.

gcloud iam workload-identity-pools create-cred-config projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID --output-file=/tmp/cred_config.json --credential-source-file=/tmp/oidc_token.txt

Leggi il file oidc_token.txt per impostare il meccanismo di autorizzazione nella libreria client:

python

import json

from google.auth import identity_pool

with open('/tmp/cred_config.json', 'r') as f:
  json_config_info = json.loads(f.read())
credentials = identity_pool.Credentials.from_info(json_config_info)
scoped_credentials = credentials.with_scopes(
    ['https://www.googleapis.com/auth/cloud-platform'])

Invia una richiesta a CA Service con la modalità di richiesta oggetto REFLECTED_SPIFFE:

arricciatura

(Facoltativo) Se non disponi di una richiesta di firma del certificato, crea una richiesta di firma del certificato eseguendo questo comando.

Nota: il seguente comando crea una richiesta di firma del certificato senza oggetto. CA Service aggiungerà un oggetto che riflette l'identità del richiedente del certificato.
```
export TUTORIAL_CSR=$(openssl req -newkey rsa:2048 -nodes -subj / -keyout tutorial_do_not_use.key)
```

Richiedi un certificato con la CSR, una modalità di richiesta a vita e una modalità di richiesta dell'oggetto riflessa:

curl -H "Authorization: Bearer $(echo $STS_TOKEN)" https://privateca.googleapis.com/v1/projects/PROJECT_NUMBER/locations/LOCATION/caPools/CA_POOL_ID/certificates\?alt\=json  -X POST -H "Content-Type: application/json" -H 'Accept: application/json' --data '{"lifetime": "100s", "pemCsr": "'$TUTORIAL_CSR'", "subjectMode": "REFLECTED_SPIFFE"}'

Librerie client

Per inoltrare il token proprietario a CA Service, devi creare un client con credenziali. Puoi quindi utilizzare questo client con credenziali per effettuare richieste di certificati:

Avvia un client di servizio CA con credenziali:

python

caServiceClient = privateca_v1.CertificateAuthorityServiceClient(credentials=scoped_credentials)

Richiedi un certificato.

Python

Per eseguire l'autenticazione a CA Service, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.

import google.cloud.security.privateca_v1 as privateca_v1
from google.protobuf import duration_pb2

def create_certificate(
    project_id: str,
    location: str,
    ca_pool_name: str,
    ca_name: str,
    certificate_name: str,
    common_name: str,
    domain_name: str,
    certificate_lifetime: int,
    public_key_bytes: bytes,
) -> None:
    """
    Create a Certificate which is issued by the Certificate Authority present in the CA Pool.
    The key used to sign the certificate is created by the Cloud KMS.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: set a unique name for the CA pool.
        ca_name: the name of the certificate authority which issues the certificate.
        certificate_name: set a unique name for the certificate.
        common_name: a title for your certificate.
        domain_name: fully qualified domain name for your certificate.
        certificate_lifetime: the validity of the certificate in seconds.
        public_key_bytes: public key used in signing the certificates.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    # The public key used to sign the certificate can be generated using any crypto library/framework.
    # Also you can use Cloud KMS to retrieve an already created public key.
    # For more info, see: https://cloud.google.com/kms/docs/retrieve-public-key.

    # Set the Public Key and its format.
    public_key = privateca_v1.PublicKey(
        key=public_key_bytes,
        format_=privateca_v1.PublicKey.KeyFormat.PEM,
    )

    subject_config = privateca_v1.CertificateConfig.SubjectConfig(
        subject=privateca_v1.Subject(common_name=common_name),
        subject_alt_name=privateca_v1.SubjectAltNames(dns_names=[domain_name]),
    )

    # Set the X.509 fields required for the certificate.
    x509_parameters = privateca_v1.X509Parameters(
        key_usage=privateca_v1.KeyUsage(
            base_key_usage=privateca_v1.KeyUsage.KeyUsageOptions(
                digital_signature=True,
                key_encipherment=True,
            ),
            extended_key_usage=privateca_v1.KeyUsage.ExtendedKeyUsageOptions(
                server_auth=True,
                client_auth=True,
            ),
        ),
    )

    # Create certificate.
    certificate = privateca_v1.Certificate(
        config=privateca_v1.CertificateConfig(
            public_key=public_key,
            subject_config=subject_config,
            x509_config=x509_parameters,
        ),
        lifetime=duration_pb2.Duration(seconds=certificate_lifetime),
    )

    # Create the Certificate Request.
    request = privateca_v1.CreateCertificateRequest(
        parent=caServiceClient.ca_pool_path(project_id, location, ca_pool_name),
        certificate_id=certificate_name,
        certificate=certificate,
        issuing_certificate_authority_id=ca_name,
    )
    result = caServiceClient.create_certificate(request=request)

    print("Certificate creation result:", result)

Verifica il certificato. Il certificato deve avere un oggetto contenente un singolo URI SAN. La SAN che attesta un'identità ha il seguente formato:
```
spiffe://IDENTITY_POOL_ID.PROJECT_NUMBER.global.workload.id.goog/subject/<oidc_subject_number>
```
Sostituisci:
- IDENTITY_POOL_ID: l'identificatore univoco del pool di identità del carico di lavoro.
- PROJECT_NUMBER: il numero del progetto in cui hai creato il pool di identità per i carichi di lavoro.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse del servizio CA che hai creato dopo questo documento, esegui le seguenti operazioni utilizzando Google Cloud CLI:

Elimina la CA creata.
1. Disattiva la CA:
```
gcloud privateca roots disable CA_ID --pool CA_POOL_ID  --location LOCATION
```
  Sostituisci:
  - CA_ID: l'identificatore univoco della CA.
  - CA_POOL_ID: l'identificatore univoco del pool di CA.
  - LOCATION: la località del pool di CA.
2. Elimina la CA:
```
gcloud privateca roots delete CA_ID --pool CA_POOL_ID  --location LOCATION --ignore-active-certificates
```
  Sostituisci:
  - CA_ID: l'identificatore univoco della CA.
  - CA_POOL_ID: l'identificatore univoco del pool di CA.
  - LOCATION: la località del pool di CA.
Elimina il pool di CA che hai creato.

Nota: non puoi eliminare un pool di CA finché non hai eliminato definitivamente tutte le CA al suo interno. La scadenza predefinita di una CA è 30 giorni.
```
gcloud privateca pools delete CA_POOL_ID --location LOCATION
```
Sostituisci:
- CA_POOL_ID: l'identificatore univoco del pool di CA.
- LOCATION: la località del pool di CA.
Per ulteriori informazioni sul comando gcloud privateca pools delete, consulta gcloud privateca pool delete.
Elimina il pool di identità per i carichi di lavoro che hai creato:
```
gcloud iam workload-identity-pools delete IDENTITY_POOL_ID --location global
```
Sostituisci:
- IDENTITY_POOL_ID: l'identificatore univoco del pool di identità dei carichi di lavoro.
Elimina l'account di servizio che hai creato:
```
gcloud iam service-accounts delete SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com
```
Sostituisci:
- SERVICE_ACCOUNT: l'identificatore univoco del pool di identità dei carichi di lavoro.
- PROJECT_ID: il progetto proprietario dell'account di servizio.

Il ruolo IAM Richiedente certificato per carichi di lavoro del servizio CA (privateca.workloadCertificateRequester) limita l'oggetto del certificato emesso alla sola identità del richiedente. Assicurati che agli utenti o ai carichi di lavoro che utilizzano la funzionalità di riflessione dell'identità venga concesso solo il ruolo IAM Richiedente certificati carichi di lavoro del servizio CA (privateca.workloadCertificateRequester). Per rispettare il principio del privilegio minimo, puoi evitare di concedere il ruolo IAM Richiedente certificato servizio CA (privateca.certificateRequester).

Passaggi successivi

Scopri i vari controlli dei criteri che consentono di controllare le proprietà del certificato richiesto oltre a un'identità rispecchiata.
Leggi come configurare e gestire vari controlli dei criteri.