Quando l'entità che utilizzi non dispone delle autorizzazioni necessarie per eseguire la tua attività o utilizzare un account di servizio in un puoi utilizzare la rappresentazione degli account di servizio.
Quando utilizzi la rappresentazione dell'account di servizio, inizi con un principale autenticato (il tuo account utente o un account di servizio) e richiedi credenziali di breve durata per un account di servizio che dispone dell'autorizzazione richiesta dal tuo caso d'uso. L'entità autenticata deve disporre delle autorizzazioni necessarie per rubare l'identità dell'account di servizio.
La simulazione dell'identità dell'account di servizio è più sicura dell'utilizzo di una chiave dell'account di servizio perché richiede un'identità autenticata precedente e le credenziali create utilizzando la simulazione non vengono conservate. Invece, l'autenticazione con una chiave dell'account di servizio non richiede e la chiave permanente è una credenziale ad alto rischio se esposta.
Per ulteriori informazioni sulla simulazione dell'identità degli account di servizio, vedi Furto d'identità degli account di servizio.
Prima di iniziare
Prima di utilizzare la simulazione dell'identità degli account di servizio, devi abilitare le API e assicurarti di disporre dei ruoli richiesti.
Abilita API
Per rubare l'identità di un account di servizio, devi attivare l'API Service Account Credentials nel tuo progetto.
Ruoli obbligatori
Per garantire che l'entità abbia gli elementi necessari
l'autorizzazione a impersonare un account di servizio,
chiedi all'amministratore di concedere all'entità
Ruolo IAM Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) nell'account di servizio.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene
iam.serviceAccounts.getAccessToken
autorizzazione,
che è obbligatorio
si tratta di un account di servizio.
L'amministratore potrebbe anche assegnare all'entità principale questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Devi concedere questi ruoli all'entità, anche quando lavori in una progetto che hai creato.
Per ulteriori informazioni sui ruoli richiesti per la rappresentazione, vedi Ruoli per l'autenticazione dell'account di servizio.
Puoi utilizzare la simulazione dell'identità degli account di servizio utilizzando i seguenti metodi:
- Utilizzare gcloud CLI
- Configurare le credenziali predefinite dell'applicazione per l'utilizzo delle librerie client
- Genera e gestisci le credenziali di breve durata
Utilizza gcloud CLI
L'interfaccia a riga di comando gcloud offre un modo semplice per utilizzare l'usurpazione di identità dell'account di servizio. Questo metodo funziona bene quando devi usare un account di servizio per accedere alle risorse o ai servizi Google Cloud utilizzando con gcloud CLI.
Puoi rubare l'identità di un account di servizio per un determinato comando della CLI gcloud o configurare la CLI gcloud in modo da utilizzare automaticamente il furto d'identità per ogni comando.
Utilizzare l'usurpazione di identità per un comando gcloud CLI specifico
Per utilizzare l'usurpazione di identità per un comando gcloud CLI specifico, utilizza il
flag --impersonate-service-account. Ad esempio, il seguente comando elenca i bucket di archiviazione utilizzando l'identità e l'accesso forniti dall'account di servizio specificato:
gcloud storage buckets list --impersonate-service-account=SERVICE_ACCT_EMAIL
Quando utilizzi questo flag, la CLI gcloud richiede credenziali di breve durata per l'account di servizio specificato e le utilizza per autenticarsi nell'API e autorizzare l'accesso. L'entità che ha eseguito l'accesso gcloud CLI (di solito il tuo account utente) deve avere i requisiti l'autorizzazione per l'account di servizio.
Utilizza la rappresentazione con gcloud CLI per impostazione predefinita
Per configurare gcloud CLI in modo che utilizzi l'identità e l'accesso forniti da un account di servizio per impostazione predefinita, utilizza il comando gcloud CLI config:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Con questa proprietà di configurazione impostata, gcloud CLI richiede credenziali di breve durata per l'account di servizio specificato e le utilizza per autenticarsi nell'API e autorizzare l'accesso alla risorsa per ogni comando. Il principale che ha eseguito l'accesso alla CLI gcloud deve disporre dell'autorizzazione richiesta per l'account di servizio.
Configura le credenziali predefinite dell'applicazione per l'utilizzo delle librerie client
Puoi utilizzare la rappresentazione dell'account di servizio per configurare un'applicazione predefinita locale del file di credenziali (ADC). Librerie client che supportano la rappresentazione possono utilizzare automaticamente queste credenziali. I file ADC locali creati utilizzando sono supportate nei seguenti linguaggi:
- C#
- Vai
- Java
- Node.js
- Python
Utilizza l'usurpazione dell'identità dell'account di servizio per creare un file ADC locale:
gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL
Ora puoi utilizzare le librerie client che utilizzano i linguaggi supportati nello stesso modo in cui faresti dopo aver configurato un file ADC locale con le credenziali utente. Le credenziali vengono trovate automaticamente dal librerie di autenticazione. Per ulteriori informazioni, vedi Esegui l'autenticazione per l'utilizzo delle librerie client.
Genera e gestisci credenziali di breve durata
Se nessuno dei metodi precedenti corrisponde al tuo caso d'uso, devi generare e gestire token di breve durata. Ad esempio, se hai bisogno di un'altra tipo di credenziale di breve durata (diverso da un token di accesso) o se devi utilizzare la rappresentazione in un ambiente di produzione, usa questo metodo.
Per informazioni sulla generazione di token di breve durata, consulta Creare credenziali di breve durata per un account di servizio.
Passaggi successivi
- Scopri di più su come ADC trova le credenziali.
- Esplora i metodi di autenticazione.