Crea una VM che utilizza un account di servizio gestito dall'utente

Questo documento spiega come creare un'istanza di macchina virtuale (VM) configurata per utilizzare un account di servizio gestito dall'utente. Un account di servizio è un'istanza tipo di account generalmente utilizzato da un'applicazione o da un carico di lavoro di computing per di chiamate API autorizzate.

Gli account di servizio sono necessari negli scenari in cui un carico di lavoro, ad esempio applicazione, deve accedere alle risorse Google Cloud o eseguire azioni il coinvolgimento dell'utente finale. Per ulteriori informazioni su quando utilizzare gli account di servizio, consulta Best practice per l'utilizzo degli account di servizio.

Se hai applicazioni che devono effettuare chiamate alle API Google Cloud, Google consiglia di collegare un account di servizio gestito dall'utente alla VM su cui è in esecuzione l'applicazione o il carico di lavoro. Quindi, concedi l'account di servizio i ruoli IAM, che forniscono all'account di servizio per estensione, le applicazioni in esecuzione sulla VM: l'accesso dell'accesso a specifiche risorse Google Cloud.

Prima di iniziare

  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine come segue.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init
    2. Set a default region and zone.

      3. Terraform

      Per utilizzare gli esempi di Terraform in questa pagina in un ambiente dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.

      1. Install the Google Cloud CLI.

      2. To initialize the gcloud CLI, run the following command: 

        gcloud init

      3. If you're using a local shell, then create local authentication credentials for your user account: 

        gcloud auth application-default login

        You don't need to do this if you're using Cloud Shell.

      Per ulteriori informazioni, consulta Set up authentication for a local development environment.

      REST

      Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command: 

        gcloud init

      Per ulteriori informazioni, vedi Esegui l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare VM che utilizzano account di servizio, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti le autorizzazioni necessarie per creare VM che usano account di servizio. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per creare VM che utilizzano account di servizio sono necessarie le seguenti autorizzazioni:

  • Per creare account di servizio: Tutte le autorizzazioni nel ruolo serviceAccountCreator
  • Per creare le VM:
    • compute.instances.create sul progetto
    • Per utilizzare un'immagine personalizzata per creare la VM: compute.images.useReadOnly sull'immagine
    • Per utilizzare uno snapshot per creare la VM: compute.snapshots.useReadOnly nello snapshot
    • Per utilizzare un modello di istanza per creare la VM: compute.instanceTemplates.useReadOnly nel modello di istanza
    • Per assegnare una rete legacy alla VM,: compute.networks.use nel progetto
    • Per specificare un indirizzo IP statico per la VM: compute.addresses.use nel progetto
    • Per assegnare un indirizzo IP esterno alla VM quando utilizzi una rete legacy: compute.networks.useExternalIp nel progetto
    • Per specificare una subnet per la VM: compute.subnetworks.use nel progetto o nella subnet scelta
    • Per assegnare un indirizzo IP esterno alla VM quando utilizzi una rete VPC,: compute.subnetworks.useExternalIp nel progetto o nella subnet scelta
    • Per impostare i metadati dell'istanza VM per la VM: compute.instances.setMetadata nel progetto
    • Per impostare i tag per la VM: compute.instances.setTags sulla VM
    • Per impostare le etichette per la VM: compute.instances.setLabels sulla VM
    • Per impostare un account di servizio che la VM deve utilizzare: compute.instances.setServiceAccount sulla VM
    • Per creare un nuovo disco per la VM: compute.disks.create nel progetto
    • Per collegare un disco esistente in modalità di sola lettura o lettura/scrittura: compute.disks.use sul disco
    • Per collegare un disco esistente in modalità di sola lettura: compute.disks.useReadOnly sul disco

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Panoramica

Ti consigliamo di configurare gli account di servizio per le VM che segue:

  1. Crea un nuovo account di servizio gestito dall'utente anziché utilizzare Compute Engine l'account di servizio predefinito e concedere i ruoli IAM a quest'ultimo per e solo le risorse e le operazioni di cui ha bisogno.
  2. Collega l'account di servizio alla VM.
  3. Imposta l'ambito Cloud Platform (https://www.googleapis.com/auth/cloud-platform) su della VM. In questo modo, l'account di servizio della VM può chiamare le API Google Cloud di cui ha l'autorizzazione di utilizzo.
    • Se specifichi l'account di servizio utilizzando la console Google Cloud, l'ambito di accesso della VM viene impostato automaticamente sull'ambito cloud-platform.
    • Se specifichi l'account di servizio utilizzando Google Cloud CLI o Compute Engine puoi utilizzare il parametro scopes per impostare l'ambito di accesso.

Configurare un account di servizio

Crea un account di servizio e assegna i ruoli IAM richiesti. Assegna il numero massimo o minimo di ruoli IAM in base alle tue esigenze. Puoi modificare i ruoli IAM sull'account di servizio in base alle esigenze.

Google consiglia di limitare i privilegi degli account di servizio e di controllare regolarmente le autorizzazioni degli account di servizio per assicurarsi che siano aggiornate.

Utilizza uno dei seguenti metodi per configurare l'account di servizio.

Console

    In the Google Cloud console, go to the Create service account page.

    Go to Create service account
  1. Select your project.

  2. In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.

    In the Service account description field, enter a description. For example, Service account for quickstart.

  3. Click Create and continue.

  4. Grant the required roles to the service account.

    To grant a role, find the Select a role list, then select the role.

    To grant additional roles, click Add another role and add each additional role.

  5. Click Continue.

  6. In the Service account users role field, enter the identifier for the principal that will attach the service account to other resources, such as Compute Engine instances.

    This is typically the email address for a Google Account.

  7. Click Done to finish creating the service account.

gcloud

    Set up authentication:

    1. Create the service account: 

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Replace SERVICE_ACCOUNT_NAME with a name for the service account.

    2. To provide access to your project and your resources, grant a role to the service account: 

      gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • ROLE: the role to grant
    3. To grant another role to the service account, run the command as you did in the previous step.

    4. Grant the required role to the principal that will attach the service account to other resources. 

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • USER_EMAIL: the email address for a Google Account

Terraform

Per creare un account di servizio, puoi utilizzare la risorsa google_service_account.

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

Ricorda di sostituire i valori segnaposto per gli attributi account_id e display_name.

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta: Comandi Terraform di base.

Crea una VM e collega l'account di servizio

Dopo aver creato l'account di servizio, crea una VM e associa l'account di servizio che hai creato nella sezione precedente. Imposta anche l'ambito di accesso della VM su cloud-platform.

Se hai già una VM esistente e vuoi configurarla in modo che utilizzi un account di servizio diverso, consulta Modificare l'account di servizio associato.

Utilizza uno dei seguenti metodi per creare una VM e collegare l'account di servizio.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

Vai a Istanze VM

  1. Seleziona il progetto e fai clic su Continua.
  2. Fai clic su Crea istanza.
  3. Specifica un nome per la VM.
  4. Vai alla sezione Identità e accesso API.
  5. Nell'elenco Account di servizio, seleziona l'account di servizio è stato creato. Quando colleghi un account di servizio a una VM, Google Cloud L'ambito di accesso cloud-platform viene impostato automaticamente nella VM.
  6. Apporta ulteriori personalizzazioni della VM, se necessario.
  7. Per creare e avviare la VM, fai clic su Crea.

gcloud

Per creare una nuova istanza VM e configurarla per l'utilizzo di un account di servizio personalizzato con Google Cloud CLI, usa gcloud compute instances create e fornisci il comando l'email dell'account di servizio e l'ambito di accesso cloud-platform alla VM in esecuzione in un'istanza Compute Engine.

gcloud compute instances create VM_NAME \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Sostituisci quanto segue:

  • SERVICE_ACCOUNT_EMAIL: l'indirizzo email di l'account di servizio che hai creato. Ad esempio: my-sa-123@my-project-123.iam.gserviceaccount.com. Per visualizzare l'indirizzo email, consulta Elenco degli account di servizio.
  • VM_NAME: il nome dell'istanza VM.

Ad esempio:

gcloud compute instances create example-vm \
    --service-account 123-my-sa@my-project-123.iam.gserviceaccount.com \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Puoi anche specificare l'ambito utilizzando l'alias: --scopes=cloud-platform. Questi alias sono riconosciuti solo dalla CLI gcloud. L'API e altre librerie non riconoscono questi alias, pertanto devi specificare l'URI ambito completo.

Terraform

Per configurare una nuova VM per utilizzare un account di servizio, puoi utilizzare google_compute_instance risorsa.

resource "google_compute_instance" "default" {
  name         = "my-test-vm"
  machine_type = "n1-standard-1"
  zone         = "us-central1-a"

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }

  // Local SSD disk
  scratch_disk {
    interface = "SCSI"
  }

  network_interface {
    network = "default"

    access_config {
      // Ephemeral public IP
    }
  }

  service_account {
    # Google recommends custom service accounts with `cloud-platform` scope with
    # specific permissions granted via IAM Roles.
    # This approach lets you avoid embedding secret keys or user credentials
    # in your instance, image, or app code
    email  = google_service_account.default.email
    scopes = ["cloud-platform"]
  }
}

REST

Utilizza la instances.insert per creare la VM e specificare l'email e l'ambito di accesso dell'account di servizio per l'istanza VM.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
   "machineType":"zones/MACHINE_TYPE_ZONE/machineTypes/MACHINE_TYPE",
   "name":"VM_NAME",
   
   "disks":[
      {
         "initializeParams":{
            "sourceImage":"projects/IMAGE_PROJECT/global/images/IMAGE"
         },
         "boot":true
      }
   ],
   
   
   "networkInterfaces":[
      {
         "network":"global/networks/NETWORK_NAME"
      }
   ],
   
  "serviceAccounts": [
      {
      "email": "SERVICE_ACCOUNT_EMAIL",
      "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
      }
   ],
   "shieldedInstanceConfig":{
      "enableSecureBoot":"ENABLE_SECURE_BOOT"
   }
}

Sostituisci quanto segue:

  • PROJECT_ID: ID del progetto in cui creare la VM
  • ZONE: zona in cui creare la VM
  • MACHINE_TYPE_ZONE: zona contenente il tipo di macchina da utilizzare per la nuova VM
  • MACHINE_TYPE: tipo di macchina, predefinito o personalizzato, per la nuova VM
  • VM_NAME: nome della nuova VM
  • IMAGE_PROJECT: progetto contenente l'immagine
    Ad esempio, se specifichi debian-10 come immagine specifica debian-cloud come progetto immagine.
  • IMAGE or IMAGE_FAMILY: specifica una delle seguenti opzioni:
    • IMAGE: una versione specifica di un'immagine pubblica
      Ad esempio: "sourceImage": "projects/debian-cloud/global/images/debian-10-buster-v20200309"
    • IMAGE_FAMILY: una famiglia di immagini
      . Viene creata la VM dall'immagine del sistema operativo più recente e non ritirata. Ad esempio, se specifichi "sourceImage": "projects/debian-cloud/global/images/family/debian-10", Compute Engine crea una VM dalla versione più recente dell'immagine del sistema operativo nella famiglia di immagini Debian 10.
  • NETWORK_NAME: la rete VPC che vuoi utilizzare per la VM. Puoi specificare default per utilizzare la rete predefinita.
  • SERVICE_ACCOUNT_EMAIL: l'indirizzo email dell'account di servizio che hai creato. Ad esempio: my-sa-123@my-project-123.iam.gserviceaccount.com. Per visualizzare l'indirizzo email, vedi Ottenere l'indirizzo email di un account di servizio.

  • ENABLE_SECURE_BOOT: facoltativo: se hai scelto un'immagine che supporta le funzionalità di VM schermate, Compute Engine attiva per impostazione predefinita il Trusted Platform Module virtuale (vTPM) e il monitoraggio dell'integrità. Compute Engine non abilita Secure Avvio per impostazione predefinita.

    Se specifichi true per enableSecureBoot, Compute Engine crea una VM con tutte e tre le funzionalità delle VM schermate abilitate. Dopo che Compute Engine ha avviato la VM, per modificare le opzioni della VM protetta, devi arrestarla.

Accedere e utilizzare altri servizi Google Cloud

Una volta configurata la VM per l'utilizzo dell'account di servizio, le applicazioni possono utilizzarlo per l'autenticazione. Il metodo più comune è eseguire l'autenticazione utilizzando le Credenziali predefinite dell'applicazione e una libreria client. Alcuni strumenti Google Cloud, come gcloud CLI sono in grado di utilizzare automaticamente il servizio per accedere alle API Google Cloud da una VM. Per ulteriori informazioni, consulta Autenticare i carichi di lavoro utilizzando gli account di servizio.

Se un account di servizio viene eliminato, le applicazioni non avranno più accesso a alle risorse Google Cloud tramite quell'account di servizio. Se elimini gli account di servizio App Engine e Compute Engine predefiniti, le VM non avranno più accesso alle risorse del progetto. Se non sai con certezza se un service account è in uso, Google consiglia di disattivarlo prima di eliminarlo. I service account disattivati possono essere riattivati se sono ancora necessari.

Esempio: accedi alle risorse Cloud Storage dalla tua VM

Dopo aver configurato la VM in modo che utilizzi un account di servizio con il ruolo storage.admin, puoi utilizzare strumenti come l'interfaccia a riga di comando gcloud per gestire i file archiviati su Cloud Storage. Per accedere alle tue risorse Cloud Storage, svolgi i seguenti passaggi:

  1. Assicurati che l'account di servizio associato alla VM abbia il ruolo roles/storage.admin.

  2. Se la VM utilizza un'immagine sistema operativo personalizzata, installa gcloud CLI. Per impostazione predefinita, gcloud CLI è installato sulla maggior parte delle immagini del sistema operativo pubbliche fornite da Google Cloud.

  3. Connettiti alla VM.

  4. Dalla VM, utilizza Google Cloud CLI per gestire le risorse Cloud Storage.

Passaggi successivi