Account di servizio

Questa pagina descrive come funzionano gli account di servizio con Compute Engine.

Per informazioni dettagliate sul collegamento di un account di servizio a un'istanza di una macchina virtuale (VM), esamina uno dei seguenti documenti:

Per conoscere le best practice per la creazione e la gestione degli account di servizio, leggi la documentazione Best practice per l'utilizzo degli account di servizio.

Provalo

Se non hai mai utilizzato Google Cloud, crea un account per valutare le prestazioni di Compute Engine in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Prova Compute Engine gratuitamente

Che cos'è un account di servizio?

Un account di servizio è un particolare tipo di account utilizzato da un'applicazione o da un carico di lavoro di computing, anziché da una persona. Gli account di servizio sono gestiti da Identity and Access Management (IAM).

Quando utilizzi gli account di servizio con le tue VM, tieni presente quanto segue:

  • Puoi collegare lo stesso account di servizio a più VM, ma a una singola VM può essere associato un solo account di servizio.
  • Se colleghi lo stesso account di servizio a più VM, eventuali modifiche successive apportate all'account di servizio avranno effetto su tutte le VM che utilizzano l'account di servizio. Sono incluse le modifiche apportate ai ruoli IAM concessi all'account di servizio. Ad esempio, se rimuovi un ruolo, tutte le VM che utilizzano l'account di servizio perdono le autorizzazioni concesse da quel ruolo.

In che modo Compute Engine utilizza gli account di servizio

Compute Engine utilizza due tipi di account di servizio:

Un account di servizio gestito dall'utente può essere collegato a un'istanza di Compute Engine per fornire le credenziali alle applicazioni in esecuzione nell'istanza. Queste credenziali vengono utilizzate dall'applicazione per l'autenticazione nelle API Google Cloud e l'autorizzazione ad accedere alle risorse Google Cloud. A un'istanza possono essere collegati solo account di servizio gestiti dall'utente, mentre un'istanza può avere un solo account di servizio collegato. Puoi cambiare l'account di servizio collegato a un'istanza al momento della creazione o in un secondo momento.

Gli agenti di servizio vengono utilizzati dall'istanza per accedere ai processi interni per tuo conto.

Inoltre, puoi creare regole firewall che consentono o negano il traffico da e verso le istanze in base all'account di servizio associato a ciascuna istanza.

Come viene determinata l'autorizzazione

L'autorizzazione fornita alle applicazioni ospitate su un'istanza di Compute Engine è limitata da due configurazioni separate: i ruoli concessi all'account di servizio collegato e gli ambiti di accesso impostati sull'istanza. Entrambe queste configurazioni devono consentire l'accesso prima che l'applicazione in esecuzione sull'istanza possa accedere a una risorsa.

Supponiamo che tu abbia un'app che legge e scrive file su Cloud Storage. Deve prima eseguire l'autenticazione nell'API Cloud Storage. Puoi creare un'istanza con l'ambito cloud-platform e collegare un account di servizio all'istanza. Dopodiché puoi concedere i ruoli IAM (Identity and Access Management) all'account di servizio per concedere all'app l'accesso alle risorse appropriate. L'app utilizza le credenziali dell'account di servizio per eseguire l'autenticazione nell'API Cloud Storage senza incorporare chiavi private o credenziali utente nell'istanza, nell'immagine o nel codice dell'app. L'app utilizza anche l'autorizzazione fornita dai ruoli IAM nell'account di servizio per accedere alle risorse. Per ulteriori informazioni sull'autorizzazione, vedere Autorizzazione in questa pagina.

Account di servizio gestiti dall'utente

Gli account di servizio gestiti dall'utente includono i nuovi account di servizio creati in modo esplicito e l'account di servizio predefinito di Compute Engine.

Nuovi account di servizio

Puoi creare e gestire i tuoi account di servizio utilizzando IAM. Dopo aver creato un account, concedi i ruoli IAM all'account e configuri le istanze da eseguire come account di servizio. Le app in esecuzione su istanze a cui è collegato l'account di servizio possono utilizzare le credenziali dell'account per effettuare richieste ad altre API di Google.

Per creare e configurare un nuovo account di servizio, consulta Creare una VM che utilizza un account di servizio gestito dall'utente.

Account di servizio predefinito Compute Engine

I nuovi progetti in cui è stata abilitata l'API Compute Engine dispongono di un account di servizio predefinito di Compute Engine, che contiene l'indirizzo email seguente:

PROJECT_NUMBER-compute@developer.gserviceaccount.com

L'account di servizio predefinito di Compute Engine ha i seguenti attributi:

  • Viene creato automaticamente con un nome e un indirizzo email generati automaticamente e aggiunto al progetto quando abiliti l'API Compute Engine. Hai il controllo completo dell'account.
  • Collegato per impostazione predefinita a tutte le VM create utilizzando Google Cloud CLI o la console Google Cloud. Puoi ignorare questo comportamento specificando un account di servizio diverso quando crei la VM oppure specificando esplicitamente che alla VM non deve essere collegato alcun account di servizio.

  • A seconda della configurazione dei criteri dell'organizzazione, all'account di servizio predefinito potrebbe essere concesso automaticamente il ruolo Editor per il progetto. Ti consigliamo vivamente di disabilitare la concessione automatica del ruolo applicando il vincolo iam.automaticIamGrantsForDefaultServiceAccounts del criterio dell'organizzazione. Se hai creato la tua organizzazione dopo il 3 maggio 2024, questo vincolo viene applicato per impostazione predefinita.

    Se disabiliti la concessione automatica dei ruoli, devi decidere quali ruoli concedere agli account di servizio predefiniti e poi concedere questi ruoli autonomamente.

    Se l'account di servizio predefinito ha già il ruolo Editor, ti consigliamo di sostituire quest'ultimo con ruoli meno permissivi. Per modificare in modo sicuro i ruoli dell'account di servizio, utilizza il Simulatore di criteri per vedere l'impatto della modifica, quindi concedi e revoca i ruoli appropriati.

Puoi disabilitare o eliminare questo account di servizio dal progetto, ma questa operazione potrebbe causare il mancato funzionamento di tutte le applicazioni che dipendono dalle credenziali dell'account di servizio. Se elimini per errore l'account di servizio predefinito di Compute Engine, puoi provare a recuperarlo entro 30 giorni. Per ulteriori informazioni, consulta Eliminare e annullare l'eliminazione degli account di servizio.

Se l'account di servizio predefinito di Compute Engine è stato eliminato più di 30 giorni fa, puoi provare a recuperarlo seguendo la procedura descritta in Risoluzione dei problemi relativi agli account di servizio predefiniti.

Agenti di servizio

Gli agenti di servizio vengono creati e gestiti da Google Cloud e assegnati al tuo progetto automaticamente. Questi account rappresentano diversi servizi Google Cloud e ognuno ha in genere un certo livello di accesso alle tue risorse Google Cloud.

Non puoi collegare gli agenti di servizio a un'istanza Compute Engine.

Agente di servizio API di Google

A parte l'account di servizio predefinito, tutti i progetti abilitati con Compute Engine sono dotati di un agente di servizio delle API di Google identificabile tramite l'indirizzo email:

PROJECT_NUMBER@cloudservices.gserviceaccount.com

Questo agente di servizio è progettato specificamente per eseguire processi interni di Google per tuo conto. Questo agente di servizio è di proprietà di Google e non è elencato nella sezione Account di servizio della console Google Cloud. Per impostazione predefinita, a questo agente di servizio viene concesso automaticamente il ruolo di editor del progetto nel progetto ed è elencato nella sezione IAM della console Google Cloud. Questo agente di servizio viene eliminato solo quando viene eliminato il progetto. Tuttavia, puoi modificare i ruoli concessi a questo account, revocando del tutto l'accesso al tuo progetto.

Alcune risorse si basano sulle autorizzazioni di editor predefinite concesse a questo agente di servizio. Ad esempio, i gruppi di istanze gestite e la scalabilità automatica utilizzano le credenziali di questo agente di servizio per creare, eliminare e gestire le istanze. Se revochi le autorizzazioni all'agente di servizio o modifichi le autorizzazioni in modo da non concedere le autorizzazioni per creare istanze, i gruppi di istanze gestite e la scalabilità automatica smetteranno di funzionare.

Per questi motivi, non devi modificare i ruoli di questo agente di servizio a meno che un suggerimenti per i ruoli non ti suggerisca esplicitamente di modificarli.

Agente di servizio Compute Engine

Tutti i progetti in cui è abilitata l'API Compute Engine dispongono di un agente di servizio Compute Engine, che ha il seguente indirizzo email:

service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

Questo agente di servizio è progettato specificatamente per l'esecuzione delle attività di servizio sul tuo progetto da parte di Compute Engine. Si basa sul criterio IAM dell'agente di servizio concesso al tuo progetto Google Cloud. È anche l'agente di servizio utilizzato da Compute Engine per accedere all'account di servizio gestito dall'utente sulle istanze VM. L'account è di proprietà di Google, ma è specifico del tuo progetto. Questo agente di servizio è nascosto dalla pagina IAM della console, a meno che non selezioni Includi concessioni dei ruoli fornite da Google. Per impostazione predefinita, a questo agente di servizio viene concesso automaticamente il ruolo compute.serviceAgent nel progetto.

Questo agente di servizio viene eliminato solo quando elimini il progetto. Puoi modificare i ruoli concessi a questo agente di servizio e revocare tutti gli accessi al tuo progetto da questo agente. La revoca o la modifica delle autorizzazioni per questo agente di servizio impedisce a Compute Engine di accedere alle identità dei tuoi account di servizio sulle tue VM e può causare interruzioni del software in esecuzione all'interno delle VM.

Per questi motivi, è consigliabile evitare il più possibile di modificare i ruoli di questo agente di servizio.

Collegamento di un account di servizio a un'istanza

Per evitare di fornire a un'applicazione autorizzazioni in eccesso, consigliamo di creare un account di servizio gestito dall'utente, assegnargli solo i ruoli necessari per il corretto funzionamento dell'applicazione e collegarlo all'istanza di Compute Engine. Il tuo codice può quindi utilizzare Credenziali predefinite dell'applicazione per l'autenticazione con le credenziali fornite dall'account di servizio.

Puoi collegare un account di servizio a un'istanza Compute Engine quando crei l'istanza o in un secondo momento. È possibile collegare un solo account di servizio alla volta; se colleghi un account di servizio a un'istanza a cui è già collegato, l'account di servizio precedente non viene più utilizzato da quell'istanza.

Quando colleghi un account di servizio a un'istanza Compute Engine, devi anche assicurarti che gli ambiti impostati nell'istanza siano corretti. In caso contrario, l'app potrebbe non essere in grado di accedere a tutte le API di cui ha bisogno. Per maggiori informazioni, consulta Ambiti di accesso in questa pagina.

Per informazioni dettagliate sul collegamento di un account di servizio a un'istanza Compute Engine, esamina uno dei seguenti documenti:

Autorizzazione

Quando configuri un'istanza da eseguire come account di servizio, determini il livello di accesso dell'account di servizio in base ai ruoli IAM che concedi all'account di servizio. Se l'account di servizio non ha ruoli IAM, non è possibile accedere alle risorse utilizzando l'account di servizio su quell'istanza.

Inoltre, gli ambiti di accesso di un'istanza determinano gli ambiti OAuth predefiniti per le richieste effettuate tramite gcloud CLI e le librerie client sull'istanza. Di conseguenza, gli ambiti di accesso possono limitare ulteriormente l'accesso ai metodi API durante l'autenticazione tramite OAuth. Tuttavia, non si estendono ad altri protocolli di autenticazione come gRPC.

La best practice è impostare l'ambito di accesso cloud-platform completo sull'istanza e poi controllare l'accesso dell'account di servizio utilizzando i ruoli IAM.

Essenzialmente:

  • IAM limita l'accesso alle API in base ai ruoli IAM concessi all'account di servizio.
  • Gli ambiti di accesso potrebbero limitare ulteriormente l'accesso ai metodi API.

Sia gli ambiti di accesso che i ruoli IAM sono descritti in dettaglio nelle sezioni seguenti.

Ruoli IAM

Devi concedere i ruoli IAM appropriati a un account di servizio per consentire a quell'account di servizio di accedere ai metodi API pertinenti.

Ad esempio, puoi concedere a un account di servizio i ruoli IAM per la gestione degli oggetti Cloud Storage o per la gestione dei bucket Cloud Storage o entrambi, limitando l'account alle autorizzazioni concesse da quei ruoli.

Quando concedi un ruolo IAM a un account di servizio, qualsiasi applicazione in esecuzione su un'istanza a cui è collegato l'account di servizio avrà l'autorizzazione conferita da quel ruolo.

Alcune cose da ricordare:

  • Alcuni ruoli IAM sono in versione beta.

    Se non esiste un ruolo predefinito per il livello di accesso che vuoi, puoi creare e concedere ruoli personalizzati.

  • Per autorizzare l'accesso, devi impostare gli ambiti di accesso sull'istanza.

    Mentre il livello di accesso di un account di servizio è determinato dai ruoli assegnati all'account di servizio, gli ambiti di accesso di un'istanza determinano gli ambito OAuth predefiniti per le richieste effettuate tramite gcloud CLI e le librerie client sull'istanza. Di conseguenza, gli ambiti di accesso limitano potenzialmente ulteriormente l'accesso ai metodi API durante l'autenticazione tramite OAuth.

Ambiti di accesso

Gli ambiti di accesso sono il metodo legacy per specificare l'autorizzazione per la tua istanza VM. Definiscono gli ambiti OAuth predefiniti utilizzati nelle richieste provenienti da gcloud CLI o dalle librerie client. Gli ambiti di accesso non si applicano per le chiamate effettuate utilizzando gRPC.

Gli ambiti di accesso si applicano per singola VM e rimangono solo per tutta la durata della VM. Puoi impostare gli ambiti di accesso durante la creazione di una VM o aggiornare l'ambito di accesso su una VM esistente.

In genere, la documentazione per ciascun metodo API elenca gli ambiti richiesti per quel metodo. Ad esempio, il metodo instances.insert fornisce un elenco di ambiti validi nella sezione di autorizzazione.

Gli ambiti di accesso non hanno effetto se non hai abilitato l'API correlata sul progetto a cui appartiene l'account di servizio. Ad esempio, la concessione di un ambito di accesso a Cloud Storage su un'istanza di macchina virtuale consente all'istanza di chiamare l'API Cloud Storage solo se hai abilitato l'API Cloud Storage nel progetto.

Ambiti predefiniti

Quando crei una nuova istanza Compute Engine, questa viene configurata automaticamente con i seguenti ambiti di accesso:

  • Accesso in sola lettura a Cloud Storage:
    https://www.googleapis.com/auth/devstorage.read_only
  • Accesso in scrittura per scrivere i log di Compute Engine:
    https://www.googleapis.com/auth/logging.write
  • Accesso in scrittura per pubblicare dati di metriche nei progetti Google Cloud:
    https://www.googleapis.com/auth/monitoring.write
  • Accesso in sola lettura alle funzionalità di Service Management richieste per gli endpoint Google Cloud(Alpha):
    https://www.googleapis.com/auth/service.management.readonly
  • Accesso in lettura o scrittura alle funzionalità di Service Control richieste per gli endpoint Google Cloud(alpha):
    https://www.googleapis.com/auth/servicecontrol
  • L'accesso in scrittura a Cloud Trace consente a un'applicazione in esecuzione su una VM di scrivere dati di traccia in un progetto.
    https://www.googleapis.com/auth/trace.append

Best practice per gli ambiti

Sono disponibili molti ambiti di accesso tra cui scegliere, ma una best practice è impostare l'ambito di accesso cloud-platform, che è un ambito OAuth per i servizi Google Cloud, e quindi controllare l'accesso all'account di servizio concedendogli dei ruoli IAM.

https://www.googleapis.com/auth/cloud-platform

Esempi di ambiti

In base alla best practice relativa agli ambiti, se hai abilitato l'ambito dell'accesso cloud-platform su un'istanza e poi hai concesso i seguenti ruoli IAM predefiniti:

  • roles/compute.instanceAdmin.v1
  • roles/storage.objectViewer
  • roles/compute.networkAdmin

Quindi l'account di servizio avrà solo le autorizzazioni incluse in questi tre ruoli. Le applicazioni che si spacciano per quell'account di servizio non possono eseguire azioni al di fuori di questi ruoli nonostante l'ambito di accesso di Google Cloud.

Se invece concedi un ambito più restrittivo all'istanza, ad esempio l'ambito di sola lettura di Cloud Storage (https://www.googleapis.com/auth/devstorage.read_only), e imposti il ruolo di amministratore roles/storage.objectAdmin sull'account di servizio, per impostazione predefinita le richieste provenienti da gcloud CLI e dalle librerie client non saranno in grado di gestire gli oggetti Cloud Storage da quell'istanza, anche se hai concesso all'account di servizio il ruolo roles/storage.ObjectAdmin. Questo perché l'ambito di sola lettura di Cloud Storage non autorizza l'istanza a manipolare i dati di Cloud Storage.

Ecco alcuni esempi di ambiti di accesso:

  • https://www.googleapis.com/auth/cloud-platform. Visualizza e gestisci i tuoi dati nei servizi Google Cloud nel progetto Google Cloud specificato.
  • https://www.googleapis.com/auth/compute. Accesso con controllo completo ai metodi di Compute Engine.
  • https://www.googleapis.com/auth/compute.readonly. Accesso di sola lettura ai metodi di Compute Engine.
  • https://www.googleapis.com/auth/devstorage.read_only. Accesso di sola lettura a Cloud Storage.
  • https://www.googleapis.com/auth/logging.write. Accesso in scrittura ai log di Compute Engine.

Passaggi successivi