Esegui l'autenticazione dei carichi di lavoro per le API Google Cloud utilizzando gli account di servizio

Questa pagina descrive come utilizzare gli account di servizio per consentire alle app in esecuzione sulle tue istanze di macchine virtuali (VM) di autenticarsi alle API Google Cloud e autorizzare l'accesso alle risorse.

Per utilizzare gli account di servizio per l'autenticazione, devi prima assicurarti che la VM è configurata per usare un account di servizio. Per farlo, completa una delle seguenti operazioni delle procedure:

Prima di iniziare

  • Consulta la panoramica degli account di servizio.
  • Se non l'hai ancora fatto, configura l'autenticazione. Autenticazione è Il processo di verifica dell'identità per l'accesso ai servizi e alle API di Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine come segue.

    Per utilizzare gli Python esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia a riga di comando gcloud, quindi configura le credenziali predefinite dell'applicazione con le tue credenziali utente.

    1. Install the Google Cloud CLI.

    2. To initialize the gcloud CLI, run the following command: 

      gcloud init

    3. If you're using a local shell, then create local authentication credentials for your user account: 

      gcloud auth application-default login

      You don't need to do this if you're using Cloud Shell.

    Per ulteriori informazioni, vedi Set up authentication for a local development environment.

Panoramica

Dopo aver configurato un'istanza VM per l'esecuzione utilizzando un account di servizio, in esecuzione sull'istanza VM può utilizzare uno dei seguenti metodi per l'autenticazione:

Autenticazione delle applicazioni tramite le credenziali dell'account di servizio

Dopo aver configurato un'istanza da eseguire come service account, puoi utilizzare le credenziali dell'account di servizio per autenticare le applicazioni in esecuzione nell'istanza.

Autenticazione delle applicazioni con una libreria client

Le librerie client possono utilizzare Credenziali predefinite dell'applicazione per eseguire l'autenticazione con le API di Google e inviare richieste a queste API. L'impostazione Credenziali predefinite dell'applicazione consente alle applicazioni di ottenere automaticamente da più origini per poter testare l'applicazione localmente e poi eseguirne il deployment in un'istanza Compute Engine senza modificare il codice dell'applicazione.

Per informazioni su come configurare le credenziali predefinite dell'applicazione, consulta Fornire le credenziali alle credenziali predefinite dell'applicazione.

Questo esempio utilizza la classe libreria client Python eseguire l'autenticazione ed effettuare una richiesta all'API Cloud Storage per elencare i bucket di un progetto. L'esempio utilizza la seguente procedura:

  1. Ottieni le credenziali di autenticazione necessarie per l'API Cloud Storage e inizializza il servizio Cloud Storage con il metodo build() e le credenziali.
  2. Elenca i bucket in Cloud Storage.

Puoi eseguire questo esempio su un'istanza che ha accesso per gestire i bucket in Cloud Storage.

import argparse
from typing import List

from google.cloud import storage


def create_client() -> storage.Client:
    """
    Construct a client object for the Storage API using the
    application default credentials.

    Returns:
        Storage API client object.
    """
    # Construct the service object for interacting with the Cloud Storage API -
    # the 'storage' service, at version 'v1'.
    # Authentication is provided by application default credentials.
    # When running locally, these are available after running
    # `gcloud auth application-default login`. When running on Compute
    # Engine, these are available from the environment.
    return storage.Client()


def list_buckets(client: storage.Client, project_id: str) -> List[storage.Bucket]:
    """
    Retrieve bucket list of a project using provided client object.


    Args:
        client: Storage API client object.
        project_id: name of the project to list buckets from.

    Returns:
        List of Buckets found in the project.
    """
    buckets = client.list_buckets()
    return list(buckets)


def main(project_id: str) -> None:
    client = create_client()
    buckets = list_buckets(client, project_id)
    print(buckets)


if __name__ == "__main__":
    parser = argparse.ArgumentParser(
        description=__doc__, formatter_class=argparse.RawDescriptionHelpFormatter
    )
    parser.add_argument("project_id", help="Your Google Cloud Project ID.")

    args = parser.parse_args()

    main(args.project_id)

Autenticazione delle applicazioni direttamente con i token di accesso

Per la maggior parte delle applicazioni, puoi eseguire l'autenticazione utilizzando le credenziali predefinite dell'applicazione, che trovano le credenziali e gestiscono i token per te. Tuttavia, se la tua applicazione richiede di fornire un token di accesso OAuth2, Compute Engine ti consente di ottenere un token di accesso dal proprio server di metadati da utilizzare nella tua applicazione.

Esistono diverse opzioni per ottenere e utilizzare questi di accesso al token per autenticare le tue applicazioni. Ad esempio, puoi utilizzare curl per creare una richiesta semplice o utilizza un linguaggio di programmazione come Python per una maggiore flessibilità.

cURL

Per utilizzare curl per richiedere un token di accesso e inviare una richiesta a un'API:

  1. Nell'istanza in cui viene eseguita l'applicazione, esegui una query sul server di metadati per ottenere un token di accesso eseguendo il seguente comando:

    $ curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" \
-H "Metadata-Flavor: Google"

    La richiesta restituisce una risposta simile alla seguente:

    {
      "access_token":"ya29.AHES6ZRN3-HlhAPya30GnW_bHSb_QtAS08i85nHq39HE3C2LTrCARA",
      "expires_in":3599,
      "token_type":"Bearer"
 }

    Per le richieste API devi includere il valore access_token, non l'intera risposta. Se hai installato il processore JSON a riga di comando jq, puoi utilizzare il seguente comando per estrarre il valore del token di accesso dalla risposta:

    $ ACCESS_TOKEN=`curl \
"http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" \
-H "Metadata-Flavor: Google" | jq -r '.access_token'`

  2. Copia il valore della proprietà access_token dalla risposta e utilizzalo per inviare richieste all'API. Ad esempio, la seguente richiesta stampa un elenco di istanze nel progetto di una determinata zona:

    $ curl https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances \
-H "Authorization":"Bearer ACCESS_TOKEN"

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto per questa richiesta.
    • ZONE: la zona da cui elencare le VM.
    • ACCESS_TOKEN: il valore del token di accesso ottenuto dal passaggio precedente.

    Per informazioni sui parametri che puoi impostare nella richiesta, consulta la documentazione relativa ai parametri di sistema.

Python

Questo esempio mostra come richiedere un token per accedere all'API Cloud Storage in un'applicazione Python. L'esempio utilizza la seguente procedura:

  1. Richiedi un token di accesso al server dei metadati.
  2. Estrai il token di accesso dalla risposta del server.
  3. Utilizzare il token di accesso per effettuare una richiesta a Cloud Storage.
  4. Se la richiesta ha esito positivo, lo script stampa la risposta.

import argparse

import requests


METADATA_URL = "http://metadata.google.internal/computeMetadata/v1/"
METADATA_HEADERS = {"Metadata-Flavor": "Google"}
SERVICE_ACCOUNT = "default"


def get_access_token() -> str:
    """
    Retrieves access token from the metadata server.

    Returns:
        The access token.
    """
    url = f"{METADATA_URL}instance/service-accounts/{SERVICE_ACCOUNT}/token"

    # Request an access token from the metadata server.
    r = requests.get(url, headers=METADATA_HEADERS)
    r.raise_for_status()

    # Extract the access token from the response.
    access_token = r.json()["access_token"]

    return access_token


def list_buckets(project_id: str, access_token: str) -> dict:
    """
    Calls Storage API to retrieve a list of buckets.

    Args:
        project_id: name of the project to list buckets from.
        access_token: access token to authenticate with.

    Returns:
        Response from the API.
    """
    url = "https://www.googleapis.com/storage/v1/b"
    params = {"project": project_id}
    headers = {"Authorization": f"Bearer {access_token}"}

    r = requests.get(url, params=params, headers=headers)
    r.raise_for_status()

    return r.json()


def main(project_id: str) -> None:
    """
    Retrieves access token from metadata server and uses it to list
    buckets in a project.

    Args:
        project_id: name of the project to list buckets from.
    """
    access_token = get_access_token()
    buckets = list_buckets(project_id, access_token)
    print(buckets)


if __name__ == "__main__":
    parser = argparse.ArgumentParser(
        description=__doc__, formatter_class=argparse.RawDescriptionHelpFormatter
    )
    parser.add_argument("project_id", help="Your Google Cloud project ID.")

    args = parser.parse_args()

    main(args.project_id)

I token di accesso scadono dopo un breve periodo di tempo. Il server dei metadati memorizza nella cache i token di accesso fino a quando non rimangono 5 minuti prima della loro scadenza. Se i token non possono essere memorizzati nella cache, richieste che superano le 50 query al secondo potrebbe essere limitata. Le tue applicazioni devono disporre di un token di accesso valido per la riuscita delle chiamate API.

Autenticazione degli strumenti in un'istanza utilizzando un account di servizio

Alcune applicazioni potrebbero utilizzare i comandi di gcloud CLI, incluse per impostazione predefinita nella maggior parte delle immagini Compute Engine. L'interfaccia a riga di comando gcloud riconosce automaticamente l'account di servizio di un'istanza e le autorizzazioni pertinenti concesse all'account di servizio. In particolare, se concedi i ruoli corretti per l'account di servizio, puoi utilizzare dalle tue istanze senza dover usare gcloud auth login.

Questo riconoscimento dell'account di servizio avviene automaticamente e si applica solo al riga di comando gcloud incluso nell'istanza. Se crei nuovi strumenti o aggiungere strumenti personalizzati, devi autorizzare la tua applicazione usando una libreria client o tramite utilizzando i token di accesso direttamente nell'applicazione.

Per usufruire del riconoscimento automatico dell'account di servizio, assegna i ruoli IAM appropriati all'account di servizio e collega l'account di servizio all'istanza. Ad esempio, se concedi a un account di servizio la roles/storage.objectAdmin gcloud CLI può gestire e accedere automaticamente oggetti Cloud Storage.

Allo stesso modo, se abiliti roles/compute.instanceAdmin.v1 per l'account di servizio, lo strumento gcloud compute può gestire automaticamente le istanze.

Passaggi successivi

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni di Compute Engine in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Prova Compute Engine gratuitamente