Ruoli e autorizzazioni per le destinazioni Google Kubernetes Engine (GKE)

Questo documento mostra come concedere ruoli e autorizzazioni di Identity and Access Management (IAM) per supportare gli eventi di routing utilizzando Eventarc da Google Cloud e altre origini a destinazioni GKE, inclusi gli endpoint pubblici dei servizi privati e pubblici in esecuzione in un cluster GKE:

Concedi le autorizzazioni a livello di progetto all'entità che richiama le API Eventarc (ad esempio, il creatore del trigger Eventarc):
1. Il ruolo Amministratore Eventarc consente il controllo completo su tutte le risorse Eventarc, inclusa la specifica di un account di servizio per il trigger quando lo crei.
2. Il ruolo Utente account di servizio consente a un'entità di impersonare e utilizzare un account di servizio. L'account di servizio è associato a un trigger Eventarc e rappresenta l'identità del trigger.
Concedi le autorizzazioni di trigger Eventarc all'account di servizio trigger:
1. Il ruolo Ricevitore eventi Eventarc consente al trigger Eventarc di ricevere eventi da provider di eventi. Non è necessario concedere il ruolo se esegui il routing di eventi diretti da Cloud Pub/Sub.
2. Il ruolo Sottoscrittore Pub/Sub consente al trigger Eventarc di consumare messaggi da Pub/Sub e di collegare le sottoscrizioni a un argomento.
3. Il ruolo Writer metriche di Monitoring consente all'inoltro eventi di Eventarc di scrivere metriche utilizzando Cloud Monitoring e altri sistemi che forniscono metriche.
Concedi le autorizzazioni agli agenti dei servizi Google:
1. Se stai creando un trigger per eventi diretti da Cloud Storage, concedi il ruolo Publisher Pub/Sub.
2. Se hai abilitato l'agente di servizio Cloud Pub/Sub entro l'8 aprile 2021, concedi il ruolo Creatore token account di servizio.

Per ulteriori informazioni sulla concessione dei ruoli IAM, consulta Gestire l'accesso. Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Concedi autorizzazioni a livello di progetto

Se sei l'autore del progetto, ti viene concesso il ruolo Proprietario di base (roles/owner). Per impostazione predefinita, questo ruolo include le autorizzazioni necessarie per l'accesso completo alla maggior parte delle risorse Google Cloud. In caso contrario, i ruoli obbligatori devono essere concessi da un amministratore della risorsa appropriata all'entità appropriata (detta anche membro).

Ad esempio, un'entità può essere un Account Google (per gli utenti finali) o un account di servizio (per applicazioni e carichi di lavoro di computing). Ogni entità ha il proprio identificatore, che in genere è un indirizzo email.

Il ruolo Amministratore Eventarc (roles/eventarc.admin) consente il controllo completo su tutte le risorse Eventarc.

Concedi il ruolo nel progetto:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=roles/eventarc.admin
```
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto Google Cloud.
- PRINCIPAL: un identificatore per l'autore dell'attivatore, che in genere ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio, user:my-user@example.com. Per un elenco completo dei possibili valori PRINCIPAL_TYPE, consulta il riferimento sull'associazione dei criteri.
Il ruolo Utente account di servizio (roles/iam.serviceAccountUser) consente a un'entità di eseguire operazioni come account di servizio.

Quando crei un trigger Eventarc, questo ruolo ti serve per poter associare un account di servizio gestito dall'utente al trigger e che ne rappresenti l'identità. Per saperne di più, consulta Ruoli per l'autenticazione degli account di servizio.

Puoi concedere il ruolo nel progetto per consentire all'entità di impersonare più account di servizio o concedere il ruolo all'account di servizio per consentire all'entità di impersonare solo un account di servizio specifico.

Concedi il ruolo nel progetto:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=roles/iam.serviceAccountUser
```
In alternativa, concedi il ruolo nell'account di servizio:
```
gcloud iam service-accounts add-iam-policy-binding \
    projects/SERVICE_ACCOUNT_PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \
    --member=PRINCIPAL \
    --role=roles/iam.serviceAccountUser
```
Sostituisci quanto segue:
- SERVICE_ACCOUNT_PROJECT_ID: l'ID progetto Google Cloud che contiene l'account di servizio.
- SERVICE_ACCOUNT_NAME: il nome dell'account di servizio.

Concedi le autorizzazioni di trigger Eventarc

Ogni trigger Eventarc è associato a un account di servizio IAM al momento della creazione del trigger. Puoi specificare un account di servizio gestito dall'utente che il trigger deve utilizzare come identità predefinita. Se non specifichi un account di servizio durante la creazione del trigger, quest'ultimo utilizza l'account di servizio predefinito di Compute Engine per la propria identità.

Ti consigliamo di creare il tuo account di servizio gestito dall'utente per avere maggiore controllo e flessibilità nella gestione del trigger.

Crea un account di servizio e prendi nota del suo nome:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"
```
Sostituisci quanto segue:
- SERVICE_ACCOUNT_NAME: il nome dell'account di servizio. Questo nome viene visualizzato nell'indirizzo email che identifica l'account di servizio.
- DESCRIPTION: una descrizione facoltativa dell'account di servizio
- DISPLAY_NAME: il nome di un account di servizio da visualizzare nella console Google Cloud
Concedi il ruolo Ricevitore eventi Eventarc (roles/eventarc.eventReceiver) nel progetto all'account di servizio associato al tuo trigger Eventarc in modo che possa ricevere eventi dai provider di eventi.

Tieni presente che non è necessario concedere il ruolo Eventarc Event Ricevir se esegui il routing di eventi diretti da Cloud Pub/Sub.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/eventarc.eventReceiver
```
Sostituisci SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio che hai annotato nel passaggio precedente.
Concedi il ruolo Sottoscrittore Pub/Sub (roles/pubsub.subscriber) nel progetto all'account di servizio associato al tuo trigger Eventarc in modo che possa consumare messaggi da Pub/Sub e collegare le sottoscrizioni a un argomento.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/pubsub.subscriber
```
Sostituisci SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio che hai annotato in precedenza.
Concedi il ruolo Writer metriche Monitoring (roles/monitoring.metricWriter) per il progetto all'account di servizio associato al trigger Eventarc in modo che il forwarding di eventi Eventarc possa scrivere metriche utilizzando Cloud Monitoring e altri sistemi che forniscono metriche.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/monitoring.metricWriter
```

Concedi le autorizzazioni agli agenti dei servizi Google

Alcuni servizi Google Cloud hanno account di servizio gestiti da Google che consentono ai servizi di accedere alle tue risorse. Questi account di servizio sono noti come agenti di servizio. Se un'API richiede un agente di servizio, Google lo crea dopo che hai attivato e utilizzato l'API.

Se stai creando un trigger per eventi diretti da Cloud Storage, al fine di supportare la pubblicazione di messaggi in un argomento, concedi il ruolo Publisher Pub/Sub (roles/pubsub.publisher) per il progetto all'agente di servizio Cloud Storage:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com \
    --role=roles/pubsub.publisher
```
Sostituisci PROJECT_NUMBER con il numero del tuo progetto Google Cloud. Puoi trovare il numero del progetto nella pagina Dashboard della console Google Cloud o eseguendo il seguente comando:
```
gcloud projects describe PROJECT_ID --format='value(projectNumber)'
```
Se hai abilitato l'agente di servizio Cloud Pub/Sub entro l'8 aprile 2021 per supportare le richieste push Pub/Sub autenticate, concedi all'agente di servizio Pub/Sub il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) per il progetto. In caso contrario, questo ruolo è concesso per impostazione predefinita:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
    --role=roles/iam.serviceAccountTokenCreator
```

Passaggi successivi

Scopri di più sulle opzioni di controllo dell'accesso in Eventarc.
Scopri di più sulla creazione di criteri IAM per GKE.
Scopri le best practice per l'utilizzo degli account di servizio.
Scopri come descrivere un trigger e verificare il relativo account di servizio associato.