Prima che un'applicazione invii informazioni sensibili a un'istanza di una macchina virtuale (VM), l'applicazione può verificare l'identità dell'istanza utilizzando i token di identità dell'istanza firmati da Google. Ogni istanza ha un JWT (JSON Web Token) univoco che include i dettagli dell'istanza e la firma RS256 di Google. Le tue applicazioni possono verificare la firma rispetto ai certificati pubblici OAuth2 di Google per confermare l'identità dell'istanza con cui hanno stabilito una connessione.
Compute Engine genera token di istanza firmati solo quando un'istanza li richiede dai metadati dell'istanza. Le istanze possono accedere solo al proprio token univoco e non ai token di altre istanze.
Ti consigliamo di verificare le identità delle tue istanze nei seguenti scenari:
- Quando avvii un'istanza per la prima volta, le tue applicazioni potrebbero dover verificare che l'istanza a cui si sono collegate abbia un'identità valida prima di trasmettere informazioni sensibili all'istanza.
- Quando i tuoi criteri richiedono di archiviare le credenziali all'esterno dell'ambiente Compute Engine e le invii regolarmente alle tue istanze per uso temporaneo. Le tue applicazioni possono confermare le identità delle istanze ogni volta che devono trasmettere le credenziali.
I metodi di autenticazione delle istanze di Google presentano i seguenti vantaggi:
- Compute Engine crea un token univoco ogni volta che un'istanza lo richiede e ogni token scade entro un'ora. Puoi configurare le tue applicazioni in modo che accettino il token di identità di un'istanza una sola volta, il che riduce il rischio che il token possa essere riutilizzato da un sistema non autorizzato.
- I token dei metadati firmati utilizzano lo standard di settore aperto RFC 7519 e il livello di identità OpenID Connect 1.0, pertanto gli strumenti e le librerie esistenti funzioneranno perfettamente con i token di identità.
Prima di iniziare
- Scopri come recuperare i valori dei metadati dell'istanza.
- Comprendi le nozioni di base sui token web JSON in modo da sapere come utilizzarli nelle tue applicazioni.
- Scopri come creare e abilitare gli account di servizio nelle tue istanze. Le istanze devono avere un account di servizio associato per poter recuperare i token di identità. L'account di servizio non richiede autorizzazioni IAM per recuperare questi token di identità.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:
Per utilizzare gli Python esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia alla gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per ulteriori informazioni, consulta Set up authentication for a local development environment.
Verificare l'identità di un'istanza
In alcuni scenari, le applicazioni devono verificare l'identità di un'istanza in esecuzione su Compute Engine prima di trasmettere dati sensibili a quell'istanza. In un esempio tipico, è presente un sistema in esecuzione al di fuori di Compute Engine chiamato "Host1" e un'istanza Compute Engine chiamata "VM1". La VM1 può connettersi all'host1 e convalidare l'identità di quell'istanza con la seguente procedura:
La VM1 stabilisce una connessione sicura con l'host1 tramite un protocollo di connessione sicura di tua scelta, ad esempio HTTPS.
La VM1 richiede il proprio token di identità univoco al server di metadati e specifica il pubblico del token. In questo esempio, il valore del segmento di pubblico è l'URI di Host1. La richiesta al server dei metadati include l'URI del segmento di pubblico in modo che Host1 possa controllare il valore in un secondo momento durante la procedura di verifica del token.
Google genera un nuovo token di identità istanza univoco in formato JWT e lo fornisce alla VM1. Il payload del token include diversi dettagli sull'istanza e include anche l'URI del segmento di pubblico. Leggi Contenuti token per una descrizione completa dei contenuti del token.
La VM1 invia il token di identità all'host1 tramite la connessione sicura esistente.
Host1 decodifica il token di identità per ottenere i valori della intestazione e del payload del token.
Host1 verifica che il token sia firmato da Google controllando il valore del segmento di pubblico e la firma del certificato rispetto al certificato pubblico di Google.
Se il token è valido, Host1 procede con la trasmissione e chiude la connessione al termine. L'host1 e tutti gli altri sistemi devono richiedere un nuovo token per eventuali connessioni successive alla VM1.
Ottenere il token di identità dell'istanza
Quando l'istanza della macchina virtuale riceve una richiesta di fornire il proprio token di identità, l'istanza richiede il token al server dei metadati utilizzando la normale procedura per ottenere i metadati dell'istanza. Ad esempio, puoi utilizzare uno dei seguenti metodi:
cURL
Crea una richiesta curl
e includi un valore nel parametro audience
.
Se vuoi, puoi includere il parametro format
per specificare se includere o meno i dettagli del progetto e dell'istanza nel payload. Se utilizzi il formato full
, puoi includere il parametro licenses
per specificare se includere o meno i codici di licenza nel payload.
curl -H "Metadata-Flavor: Google" \ 'http://metadata/computeMetadata/v1/instance/service-accounts/default/identity?audience=AUDIENCE&format=FORMAT&licenses=LICENSES'
Sostituisci quanto segue:
AUDIENCE
: l'URI univoco concordato sia dall'istanza sia dal sistema che verifica l'identità dell'istanza. Ad esempio, il segmento di pubblico potrebbe essere un URL per la connessione tra i due sistemi.FORMAT
: il parametro facoltativo che specifica se i dettagli del progetto e dell'istanza sono inclusi o meno nel payload. Specificafull
per includere queste informazioni nel payload ostandard
per ometterle. Il valore predefinito èstandard
. Per maggiori informazioni, consulta Formato del token di identità.LICENSES
: un parametro facoltativo che specifica se i codici di licenza per le immagini associate a questa istanza sono inclusi nel payload. SpecificaTRUE
per includere queste informazioni oFALSE
per ometterle dal payload. Il valore predefinito èFALSE
. Non ha effetto, a meno cheformat
non siafull
Il server dei metadati risponde a questa richiesta con un token web JSON firmato utilizzando l'algoritmo RS256. Il token include una firma di Google e informazioni aggiuntive nel payload. Puoi inviare questo token ad altri sistemi e applicazioni in modo che possano verificarlo e confermare l'identità della tua istanza.
Python
Puoi inviare una semplice richiesta dalla tua istanza al server dei metadati utilizzando i metodi della libreria requests
di Python. L'esempio seguente richiede e stampa un token di identità istanza. Il token è univoco per l'istanza che effettua questa richiesta.
Il server dei metadati risponde a questa richiesta con un token web JSON firmato utilizzando l'algoritmo RS256. Il token include una firma di Google e informazioni aggiuntive nel payload. Puoi inviare questo token ad altri sistemi e applicazioni in modo che possano verificarlo e confermare l'identità della tua istanza.
Verifica del token
Dopo che l'applicazione riceve un token di identità istanza da un'istanza Compute Engine, può verificarlo utilizzando la procedura riportata di seguito.
Ricevi il token dall'istanza della macchina virtuale, decodificalo utilizzando un decodificatore JWT RS256 e leggi i contenuti dell'intestazione per ottenere il valore
kid
.Verifica che il token sia firmato controllandolo con il certificato pubblico di Google. Ogni certificato pubblico ha un valore
kid
corrispondente al valorekid
nell'intestazione del token.Se il token è valido, confronta i contenuti del payload con i valori previsti. Se il payload del token include dettagli sull'istanza e sul progetto, la tua applicazione può controllare i valori
instance_id
,project_id
ezone
. Questi valori sono una tupla univoca a livello globale che conferma che la tua applicazione sta comunicando con l'istanza corretta nel progetto desiderato.
Puoi decodificare e verificare il token utilizzando qualsiasi strumento che preferisci, ma un metodo comune è utilizzare le librerie per il linguaggio che preferisci. Ad esempio,
puoi utilizzare il metodo verify_token
della
libreria Google OAuth 2.0
per Python. Il metodo verify_token
associa il valore kid
al
certificato appropriato, verifica la firma, controlla la rivendicazione del segmento di pubblico e restituisce i contenuti del payload dal token.
Dopo che l'applicazione ha verificato il token e i relativi contenuti, può procedere a comunicare con l'istanza tramite una connessione sicura e poi chiudere la connessione al termine. Per le connessioni successive, richiedi un nuovo token dall'istanza e verifica di nuovo la sua identità.
Contenuti del token
Il token di identità dell'istanza contiene tre parti principali:
Intestazione
L'intestazione include il valore kid
per identificare i
certificati pubblici OAuth2
da utilizzare per verificare la firma. L'intestazione include anche il valore alg
per confermare che la firma viene generata utilizzando l'algoritmo RS256.
{
"alg": "RS256",
"kid": "511a3e85d2452aee960ed557e2666a8c5cedd8ae",
}
Payload
Il payload contiene la rivendicazione del pubblico aud
. Se l'istanza
ha specificato format=full
quando ha richiesto il token, il payload include anche rivendicazioni sull'istanza della macchina virtuale e sul relativo progetto.
Quando richiedi un token di formato completo, la specifica di licenses=TRUE
includerà anche rivendicazioni relative alle licenze associate all'istanza.
{
"iss": "[TOKEN_ISSUER]",
"iat": [ISSUED_TIME],
"exp": [EXPIRED_TIME],
"aud": "[AUDIENCE]",
"sub": "[SUBJECT]",
"azp": "[AUTHORIZED_PARTY]",
"google": {
"compute_engine": {
"project_id": "[PROJECT_ID]",
"project_number": [PROJECT_NUMBER],
"zone": "[ZONE]",
"instance_id": "[INSTANCE_ID]",
"instance_name": "[INSTANCE_NAME]",
"instance_creation_timestamp": [CREATION_TIMESTAMP],
"instance_confidentiality": [INSTANCE_CONFIDENTIALITY],
"license_id": [
"[LICENSE_1]",
...
"[LICENSE_N]"
]
}
}
}
Dove:
[TOKEN_ISSUER]
: un URL che identifica chi ha emesso il token. Per Compute Engine, questo valore èhttps://accounts.google.com
.[ISSUED_TIME]
: un timestamp Unix che indica quando è stato emesso il token. Questo valore viene aggiornato ogni volta che l'istanza richiede un token al server di metadati.[EXPIRED_TIME]
: un timestamp Unix che indica la scadenza del token.[AUDIENCE]
: l'URI univoco concordato sia dall'istanza sia dal sistema che verifica l'identità dell'istanza. Ad esempio, il segmento di pubblico potrebbe essere un URL per la connessione tra i due sistemi.[SUBJECT]
: il soggetto del token, ovvero l'ID univoco dell'account di servizio associato all'istanza.[AUTHORIZED_PARTY]
: la parte a cui è stato emesso il token ID, ovvero l'ID univoco dell'account di servizio associato all'istanza.[PROJECT_ID]
: l'ID del progetto in cui hai creato l'istanza.[PROJECT_NUMBER]
: il numero univoco del progetto in cui hai creato l'istanza.[ZONE]
: la zona in cui si trova l'istanza.[INSTANCE_ID]
: l'ID univoco dell'istanza a cui appartiene questo token. Questo ID è univoco all'interno del progetto e della zona.[INSTANCE_NAME]
: il nome dell'istanza a cui appartiene questo token. Se il tuo progetto utilizza il DNS di zona, questo nome può essere riutilizzato nelle varie zone, quindi utilizza una combinazione dei valoriproject_id
,zone
einstance_id
per identificare un ID istanza univoco. I progetti con il DNS globale abilitato hanno un nome istanza univoco nel progetto.[CREATION_TIMESTAMP]
: un timestamp Unix che indica quando è stata creata l'istanza.[INSTANCE_CONFIDENTIALITY]
:1
se l'istanza è una VM con accesso riservato.[LICENSE_1]
fino a[LICENSE_N]
: i codici licenza per le immagini associate a questa istanza.
Il tuo payload potrebbe essere simile al seguente esempio:
{
"iss": "https://accounts.google.com",
"iat": 1496953245,
"exp": 1496956845,
"aud": "https://www.example.com",
"sub": "107517467455664443765",
"azp": "107517467455664443765",
"google": {
"compute_engine": {
"project_id": "my-project",
"project_number": 739419398126,
"zone": "us-west1-a",
"instance_id": "152986662232938449",
"instance_name": "example",
"instance_creation_timestamp": 1496952205,
"instance_confidentiality": 1,
"license_id": [
"1000204"
]
}
}
}
Firma
Google genera la firma codificando in base64url l'intestazione e il payload e concatenando i due valori. Puoi controllare questo valore in base ai certificati pubblici Oauth2 per verificare il token.
Passaggi successivi
- Esamina il framework dell'architettura Google Cloud.