Autenticare i carichi di lavoro utilizzando account di servizio

In questa pagina viene descritto come utilizzare gli account di servizio per abilitare le app in esecuzione sulle istanze di macchine virtuali (VM) per l'autenticazione nelle API Google Cloud e autorizzare l'accesso alle risorse.

Per ulteriori informazioni su come Compute Engine utilizza gli account di servizio, consulta la panoramica degli account di servizio.

Prima di iniziare

• Se vuoi utilizzare gli esempi a riga di comando in questa guida:
  1. Installa o aggiorna la versione più recente di Google Cloud CLI.
  2. Imposta una regione e una zona predefinite.
• Se vuoi utilizzare gli esempi di API in questa guida, configura l'accesso all'API.
• Leggi la Panoramica degli account di servizio.

Creazione di un nuovo account di servizio

Puoi creare e configurare un nuovo account di servizio utilizzando IAM. Dopo aver creato un account, concedigli uno o più ruoli IAM e poi autorizza l'esecuzione di un'istanza di macchina virtuale come account di servizio.

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

Configurazione di una nuova istanza da eseguire come account di servizio

Dopo aver creato un nuovo account di servizio, puoi creare nuove istanze di macchine virtuali da eseguire come account di servizio. Se l'account di servizio si trova in un progetto diverso da quello delle istanze, devi configurare l'account di servizio per una risorsa in un progetto diverso.

Se vuoi assegnare o modificare un account di servizio per un'istanza esistente, consulta Cambiare l'account di servizio e gli ambiti di accesso per un'istanza.

Puoi abilitare più istanze di macchine virtuali per utilizzare lo stesso account di servizio, ma un'istanza di macchina virtuale può avere una sola identità di account di servizio. Se assegni lo stesso account di servizio a più istanze di macchine virtuali, qualsiasi modifica successiva apportata all'account di servizio interesserà le istanze che utilizzano l'account di servizio. incluse eventuali modifiche apportate ai ruoli IAM concessi all'account di servizio. Ad esempio, se rimuovi un ruolo, tutte le istanze che utilizzano l'account di servizio perderanno le autorizzazioni concesse da tale ruolo.

In genere, puoi impostare l'ambito di accesso cloud-platform per consentire l'accesso alla maggior parte delle API Cloud, quindi concedere all'account di servizio solo i ruoli IAM pertinenti. La combinazione degli ambiti di accesso concessi all'istanza della macchina virtuale e dei ruoli IAM concessi all'account di servizio determina il livello di accesso dell'account di servizio per l'istanza. L'account di servizio può eseguire i metodi API solo se sono consentiti sia dall'ambito di accesso che dai ruoli IAM.

In alternativa, puoi scegliere di impostare ambiti specifici che consentano l'accesso ai metodi API specifici che il servizio chiamerà. Ad esempio, chiamare il metodo instances.insert richiede l'autorizzazione con l'ambito https://www.googleapis.com/auth/compute o l'ambito https://www.googleapis.com/auth/cloud-platform, nonché con un ruolo IAM che concede l'accesso a quel metodo. Potresti impostare l'ambito compute al posto dell'ambito cloud-platform, che fornirebbe al servizio l'accesso ai metodi di chiamata in Compute Engine, ma nessun accesso ai metodi API di chiamata all'esterno di Compute Engine.

Puoi configurare una nuova istanza da eseguire come account di servizio tramite la console Google Cloud, Google Cloud CLI o direttamente tramite l'API.

gcloud compute instances create [INSTANCE_NAME] \
    --service-account [SERVICE_ACCOUNT_EMAIL] \
    --scopes [SCOPES,...]

gcloud compute instances create example-vm \
    --service-account 123-my-sa@my-project-123.iam.gserviceaccount.com \
    --scopes https://www.googleapis.com/auth/cloud-platform

gcloud compute instances create --help

gcloud compute instances create [INSTANCE_NAME] \
    --service-account [SERVICE_ACCOUNT_EMAIL] \
    --scopes cloud-platform

resource "google_compute_instance" "default" {
  name         = "my-test-vm"
  machine_type = "n1-standard-1"
  zone         = "us-central1-a"

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }

  // Local SSD disk
  scratch_disk {
    interface = "SCSI"
  }

  network_interface {
    network = "default"

    access_config {
      // Ephemeral public IP
    }
  }

  service_account {
    # Google recommends custom service accounts with `cloud-platform` scope with
    # specific permissions granted via IAM Roles.
    # This approach lets you avoid embedding secret keys or user credentials
    # in your instance, image, or app code
    email  = google_service_account.default.email
    scopes = ["cloud-platform"]
  }
}

POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances

{
  "machineType": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/machineTypes/[MACHINE_TYPE]",
  "name": "[INSTANCE_NAME]",
  "serviceAccounts": [
   {
    "email": "[SERVICE_ACCOUNT_EMAIL]",
    "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
   }
  ],
  ...
}

Dopo aver configurato l'esecuzione di un'istanza come account di servizio, un'applicazione in esecuzione sull'istanza può utilizzare uno dei seguenti metodi per l'autenticazione:

• Per la maggior parte delle applicazioni, scegli una delle seguenti opzioni:
  • Utilizza le credenziali predefinite dell'applicazione e una libreria client
  • Utilizzare i comandi gcloud e gsutil
• Per le applicazioni che richiedono un token di accesso OAuth2, richiedi e utilizza i token di accesso direttamente dal server di metadati

Autenticazione delle applicazioni utilizzando le credenziali dell'account di servizio

Dopo aver configurato un'istanza per l'esecuzione come account di servizio, puoi utilizzare le credenziali dell'account di servizio per autenticare le applicazioni in esecuzione sull'istanza.

Autenticazione delle applicazioni con una libreria client

Le librerie client possono utilizzare le credenziali predefinite dell'applicazione per l'autenticazione con le API di Google e l'invio di richieste a tali API. Credenziali predefinite dell'applicazione consentono alle applicazioni di ottenere automaticamente le credenziali da più origini in modo da poter testare la tua applicazione in locale e quindi eseguirne il deployment in un'istanza Compute Engine senza modificare il codice dell'applicazione.

Per informazioni sulla configurazione Credenziali predefinite dell'applicazione, consulta Fornire le credenziali alle credenziali predefinite dell'applicazione.

In questo esempio viene utilizzata la libreria client di Python per eseguire l'autenticazione ed effettuare una richiesta all'API Cloud Storage per elencare i bucket in un progetto. L'esempio utilizza la seguente procedura:

1. Ottieni le credenziali di autenticazione necessarie per l'API Cloud Storage e inizializza il servizio Cloud Storage con il metodo build() e le credenziali.
2. Elenca i bucket in Cloud Storage.

Puoi eseguire questo esempio su un'istanza con accesso per gestire i bucket in Cloud Storage.

import argparse

import googleapiclient.discovery

def create_service():
    # Construct the service object for interacting with the Cloud Storage API -
    # the 'storage' service, at version 'v1'.
    # Authentication is provided by application default credentials.
    # When running locally, these are available after running
    # `gcloud auth application-default login`. When running on Compute
    # Engine, these are available from the environment.
    return googleapiclient.discovery.build('storage', 'v1')

def list_buckets(service, project_id):
    buckets = service.buckets().list(project=project_id).execute()
    return buckets

def main(project_id):
    service = create_service()
    buckets = list_buckets(service, project_id)
    print(buckets)

if __name__ == '__main__':
    parser = argparse.ArgumentParser(
        description=__doc__,
        formatter_class=argparse.RawDescriptionHelpFormatter)
    parser.add_argument('project_id', help='Your Google Cloud Project ID.')

    args = parser.parse_args()

    main(args.project_id)

Autenticazione diretta delle applicazioni con i token di accesso

Per la maggior parte delle applicazioni, puoi autenticarti utilizzando Credenziali predefinite dell'applicazione, che trova le credenziali e gestisce i token per te. Tuttavia, se la tua applicazione richiede di fornire un token di accesso OAuth2, Compute Engine ti consente di ottenere un token di accesso dal suo server di metadati per utilizzarlo nella tua applicazione.

Esistono diverse opzioni per ottenere e utilizzare questi token di accesso per autenticare le tue applicazioni. Ad esempio, puoi utilizzare curl per creare una richiesta semplice oppure puoi usare un linguaggio di programmazione come Python per una maggiore flessibilità.

import argparse

import requests

METADATA_URL = 'http://metadata.google.internal/computeMetadata/v1/'
METADATA_HEADERS = {'Metadata-Flavor': 'Google'}
SERVICE_ACCOUNT = 'default'

def get_access_token():
    url = '{}instance/service-accounts/{}/token'.format(
        METADATA_URL, SERVICE_ACCOUNT)

    # Request an access token from the metadata server.
    r = requests.get(url, headers=METADATA_HEADERS)
    r.raise_for_status()

    # Extract the access token from the response.
    access_token = r.json()['access_token']

    return access_token

def list_buckets(project_id, access_token):
    url = 'https://www.googleapis.com/storage/v1/b'
    params = {
        'project': project_id
    }
    headers = {
        'Authorization': 'Bearer {}'.format(access_token)
    }

    r = requests.get(url, params=params, headers=headers)
    r.raise_for_status()

    return r.json()

def main(project_id):
    access_token = get_access_token()
    buckets = list_buckets(project_id, access_token)
    print(buckets)

if __name__ == '__main__':
    parser = argparse.ArgumentParser(
        description=__doc__,
        formatter_class=argparse.RawDescriptionHelpFormatter)
    parser.add_argument('project_id', help='Your Google Cloud project ID.')

    args = parser.parse_args()

    main(args.project_id)

I token di accesso scadono dopo un breve periodo di tempo. Il server di metadati memorizza nella cache i token di accesso finché non ha almeno 5 minuti di tempo prima che scadano. Puoi richiedere i nuovi token tutte le volte che vuoi, ma le tue applicazioni devono disporre di un token di accesso valido per consentire le chiamate API.

Autenticazione degli strumenti in un'istanza mediante un account di servizio

Alcune applicazioni potrebbero utilizzare i comandi degli strumenti gcloud e gsutil, che sono inclusi per impostazione predefinita nella maggior parte delle immagini Compute Engine. Questi strumenti riconoscono automaticamente l'account di servizio di un'istanza e le autorizzazioni pertinenti concesse all'account di servizio. In particolare, se concedi i ruoli corretti all'account di servizio, puoi utilizzare gli strumenti gcloud e gsutil delle istanze senza utilizzare gcloud auth login.

Questo riconoscimento dell'account di servizio avviene automaticamente e si applica solo agli strumenti gcloud e gsutil inclusi nell'istanza. Se crei nuovi strumenti o aggiungi strumenti personalizzati, devi autorizzare l'applicazione utilizzando una libreria client oppure utilizzando i token di accesso direttamente nell'applicazione.

Per sfruttare il riconoscimento automatico dell'account di servizio, concedi i ruoli IAM appropriati all'account di servizio e configura un'istanza da eseguire come account di servizio. Ad esempio, se concedi a un account di servizio il ruolo roles/storage.objectAdmin, lo strumento gsutil può gestire e accedere automaticamente agli oggetti Cloud Storage.

Analogamente, se abiliti roles/compute.instanceAdmin.v1 per l'account di servizio, lo strumento gcloud compute può gestire automaticamente le istanze.

Modifica dell'account di servizio e degli ambiti di accesso per un'istanza

Se vuoi eseguire la VM con un'identità diversa o se ritieni che l'istanza richieda un insieme di ambiti diverso per chiamare le API richieste, puoi modificare l'account di servizio e gli ambiti di accesso di un'istanza esistente. Ad esempio, puoi cambiare gli ambiti di accesso per concedere l'accesso a una nuova API, puoi rimuovere l'account di servizio e gli ambiti di accesso per impedire a una VM di accedere ai servizi Google Cloud oppure puoi cambiare una VM in modo che venga eseguita come account di servizio che hai creato al posto dell'account di servizio predefinito di Compute Engine. Tuttavia, Google consiglia di utilizzare criteri IAM granulari anziché fare affidamento sugli ambiti di accesso per controllare l'accesso alle risorse per l'account di servizio.

Per modificare l'account di servizio e gli ambiti di accesso di un'istanza, è necessario interromperla temporaneamente. Per arrestare l'istanza, leggi la documentazione per l'arresto di un'istanza. Dopo aver modificato l'account di servizio o gli ambiti di accesso, ricordati di riavviare l'istanza. Utilizza uno dei seguenti metodi per modificare l'account di servizio o gli ambiti di accesso dell'istanza arrestata.

gcloud compute instances set-service-account [INSTANCE_NAME] \
   [--service-account [SERVICE_ACCOUNT_EMAIL] | --no-service-account] \
   [--no-scopes | --scopes [SCOPES,...]]

gcloud compute instances set-service-account example-instance \
   --service-account my-sa-123@my-project-123.iam.gserviceaccount.com \
   --scopes compute-rw,storage-ro

https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/setServiceAccount

{
  "email": "[SERVICE_ACCOUNT_EMAIL]",
  "scopes": [
    "[SCOPE_URI]",
    "[SCOPE_URI]",
    ...
  ]
}

{
  "email": "my-sa-123@my-project-123.iam.gserviceaccount.com",
  "scopes": [
    "https://www.googleapis.com/auth/bigquery",
    "https://www.googleapis.com/auth/devstorage.read_only"
  ]
}

Ottenere un'email per l'account di servizio

Per identificare un account di servizio, hai bisogno dell'email dell'account. Ottieni un'email dell'account di servizio tramite una delle seguenti opzioni:

gcloud compute instances describe [INSTANCE_NAME] --format json

{
      ...
      "serviceAccounts":[
         {
            "email":"123845678986-compute@developer.gserviceaccount.com",
            "scopes":[
               "https://www.googleapis.com/auth/devstorage.full_control"
            ]
         }
      ]
      ...
   }

user@myinst:~$ curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/" \
-H "Metadata-Flavor: Google"

123845678986-compute@developer.gserviceaccount.com/
default/

Utilizzo dell'account di servizio predefinito di Compute Engine

Se hai dimestichezza con l'account di servizio predefinito di Compute Engine e vuoi utilizzare le credenziali fornite dall'account di servizio predefinito anziché creare nuovi account di servizio, puoi concedere ruoli IAM all'account di servizio predefinito.

Per impostazione predefinita, tutte le istanze Compute Engine possono essere eseguite come account di servizio predefinito. Quando crei un'istanza utilizzando Google Cloud CLI o la console Google Cloud e ometti eventuali specifiche dell'account di servizio, l'account di servizio predefinito viene assegnato all'istanza.

Prima di assegnare i ruoli IAM all'account di servizio predefinito, tieni presente che:

• La concessione di un ruolo IAM all'account di servizio predefinito influisce su tutte le istanze in esecuzione come account di servizio predefinito. Ad esempio, se concedi all'account di servizio predefinito il ruolo roles/storage.objectAdmin, tutte le istanze in esecuzione come account di servizio predefinito con gli ambiti di accesso richiesti avranno le autorizzazioni concesse dal ruolo roles/storage.objectAdmin. Analogamente, se limiti l'accesso omettendo determinati ruoli, la modifica influirà su tutte le istanze in esecuzione come account di servizio predefinito.

• Devi revocare l'autorizzazione di editor del progetto per l'account di servizio. L'account di servizio predefinito viene aggiunto come editor di progetto ai progetti per impostazione predefinita. Per utilizzare i ruoli IAM, devi revocare l'autorizzazione dell'editor di progetto.

In caso di dubbi sulla concessione dei ruoli IAM all'account di servizio predefinito, crea un nuovo account di servizio.

Segui queste istruzioni per concedere un ruolo IAM all'account di servizio predefinito:

1. Nella console Google Cloud, vai alla pagina IAM.

   Vai a IAM

2. Se richiesto, seleziona un progetto.

3. Cerca l'account di servizio denominato Account di servizio predefinito di Compute Engine.

4. Nella colonna Ruoli, espandi il menu a discesa per l'account di servizio predefinito di Compute Engine.

5. Rimuovi l'accesso in modifica e salva le modifiche.

6. Concedi i ruoli IAM all'account di servizio.

Qualsiasi istanza di macchina virtuale attualmente in esecuzione come account di servizio predefinito avrà accesso ad altre API Google Cloud in base ai ruoli IAM concessi all'account.

Se vuoi configurare una nuova istanza da eseguire come account di servizio predefinito, segui queste istruzioni:

gcloud compute instances create [INSTANCE_NAME] \
     --scopes cloud-platform

POST https://compute.googleapis.com/compute/v1/projects/zones/[ZONE]/instances

{
  "machineType": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/machineTypes/[MACHINE_TYPE]",
  "name": "[INSTANCE_NAME]",
  "serviceAccounts": [
   {
    "email": "[DEFAULT_SERVICE_ACCOUNT_EMAIL]",
    "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
   }
  ],
  ...
}

Best practice

• Google consiglia di eseguire ogni istanza VM che deve chiamare un'API Google come account di servizio con le autorizzazioni minime necessarie per eseguire la VM.

• Segui queste istruzioni per configurare gli account di servizio per le tue VM:

  1. Crea un nuovo account di servizio invece di utilizzare l'account di servizio predefinito di Compute Engine.
  2. Concedi i ruoli IAM all'account di servizio solo per le risorse necessarie.
  3. Configura la VM in modo che venga eseguita come nuovo account di servizio che hai creato.
  4. Concedi alla tua VM l'ambito https://www.googleapis.com/auth/cloud-platform per consentire l'accesso alla maggior parte delle API Google Cloud, in modo che le autorizzazioni IAM della VM siano determinate completamente dai ruoli IAM che hai concesso all'account di servizio della VM. L'account di servizio può eseguire solo i metodi API consentiti sia dall'ambito di accesso che dai ruoli IAM specifici dell'account di servizio.

• Limita i privilegi degli account di servizio e controlla regolarmente le autorizzazioni dell'account di servizio per assicurarti che siano aggiornate.

• Eliminare con attenzione gli account di servizio. Assicurati che le applicazioni critiche non utilizzino più un account di servizio prima di eliminarlo. Se non hai la certezza che sia in uso un account di servizio, ti consigliamo di disattivare l'account di servizio anziché eliminarlo. Gli account di servizio disattivati possono essere riattivati qualora siano ancora necessari.

• Riduci i rischi per la sicurezza del tuo account di servizio. Per ulteriori informazioni, consulta Best practice per l'utilizzo degli account di servizio.

Passaggi successivi

• Scopri di più sugli account di servizio.
• Scopri di più sui ruoli IAM di Compute Engine.
• Scopri di più sulle best practice per lavorare con account di servizio.