Quando l'entità in uso non dispone delle autorizzazioni necessarie per semplificare l'attività o se vuoi utilizzare un account di servizio in un ambiente di sviluppo, puoi utilizzare la rappresentazione dell'account di servizio.
Quando utilizzi la simulazione dell'identità degli account di servizio, inizi con un'entità autenticata (il tuo account utente o un account di servizio) e richiedi le credenziali di breve durata per un account di servizio con l'autorizzazione richiesta dal tuo caso d'uso. L'entità autenticata deve avere le autorizzazioni necessarie per impersonare l'account di servizio.
La simulazione dell'identità degli account di servizio è più sicura rispetto all'utilizzo di una chiave dell'account di servizio perché richiede un'identità autenticata in precedenza e le credenziali create tramite la rappresentazione non vengono mantenute. In confronto, l'autenticazione con una chiave dell'account di servizio non richiede alcuna autenticazione preventiva e la chiave permanente è una credenziale ad alto rischio se esposta.
Per ulteriori informazioni sulla simulazione dell'identità degli account di servizio, consulta Impersonificazione degli account di servizio.
Prima di iniziare
Prima di utilizzare la simulazione dell'identità degli account di servizio, devi abilitare le API richieste e assicurarti di disporre dei ruoli richiesti.
abilita le API
Per impersonare un account di servizio, devi abilitare l'API Service Account Credentials nel tuo progetto.
Ruoli obbligatori
Per assicurarti che l'entità disponga dell'autorizzazione
necessaria per impersonare un account di servizio,
chiedi all'amministratore di concedere all'entità il
ruolo IAM
Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) per l'account di servizio.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questo ruolo predefinito contiene l'autorizzazione iam.serviceAccounts.getAccessToken, necessaria per impersonare un account di servizio.
L'amministratore potrebbe anche essere in grado di concedere all'entità questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Devi concedere questi ruoli all'entità, anche quando lavori in un progetto creato da te.
Per ulteriori informazioni sui ruoli richiesti per il furto d'identità, consulta Ruoli per l'autenticazione degli account di servizio.
Puoi utilizzare la simulazione dell'identità degli account di servizio utilizzando i seguenti metodi:
- Utilizza gcloud CLI
- Configura le Credenziali predefinite dell'applicazione per l'utilizzo delle librerie client
- Genera e gestisci credenziali di breve durata
Utilizza gcloud CLI
Gcloud CLI offre un modo semplice per utilizzare l'identità degli account di servizio. Questo metodo funziona bene quando devi utilizzare un account di servizio per accedere alle risorse o ai servizi Google Cloud utilizzando gcloud CLI.
Puoi impersonare un account di servizio per uno specifico comando gcloud CLI o configurare gcloud CLI per utilizzare automaticamente la rappresentazione per ogni comando.
Usa la rappresentazione per un comando gcloud CLI specifico
Per utilizzare la rappresentazione per un comando gcloud CLI specifico, utilizza il flag --impersonate-service-account. Ad esempio, il comando seguente elenca i bucket di archiviazione, utilizzando l'identità e l'accesso forniti dall'account di servizio specificato:
gcloud storage buckets list --impersonate-service-account=SERVICE_ACCT_EMAIL
Quando utilizzi questo flag, l'interfaccia alla gcloud CLI richiede credenziali di breve durata per l'account di servizio specificato e le utilizza per l'autenticazione nell'API e l'autorizzazione dell'accesso. L'entità che ha eseguito l'accesso a gcloud CLI (di solito il tuo account utente) deve avere l'autorizzazione richiesta nell'account di servizio.
Utilizza la rappresentazione con gcloud CLI per impostazione predefinita
Per configurare gcloud CLI in modo da utilizzare l'identità e l'accesso forniti da un account di servizio per impostazione predefinita, utilizza il comando gcloud CLI config:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Con questa proprietà di configurazione impostata, gcloud CLI richiede credenziali di breve durata per l'account di servizio specificato e le utilizza per l'autenticazione nell'API e l'autorizzazione per l'accesso alla risorsa per ogni comando. L'entità che ha eseguito l'accesso a gcloud CLI deve avere l'autorizzazione richiesta per l'account di servizio.
Configurazione delle Credenziali predefinite dell'applicazione per l'utilizzo delle librerie client
Puoi utilizzare la simulazione dell'identità degli account di servizio per configurare un file ADC (Application predefinita Credentials) locale. Le librerie client che supportano la rappresentazione possono utilizzare queste credenziali automaticamente. I file ADC locali creati tramite la rappresentazione sono supportati nelle seguenti lingue:
- C#
- Go
- Java
- Node.js
- Python
Utilizza la rappresentazione degli account di servizio per creare un file ADC locale:
gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL
Genera e gestisci credenziali di breve durata
Se nessuno dei metodi precedenti si adatta al tuo caso d'uso, devi generare e gestire token di breve durata. Ad esempio, se hai bisogno di un tipo diverso di credenziale di breve durata (qualcosa di diverso da un token di accesso) o se hai bisogno di utilizzare la rappresentazione in un ambiente di produzione, utilizza questo metodo.
Per informazioni sulla generazione di token di breve durata, consulta Creare credenziali di breve durata per un account di servizio.
Passaggi successivi
- Scopri di più su come ADC trova le credenziali.
- Scopri l'autenticazione in Google.