Autenticazione in AML AI

Questo documento descrive come eseguire l'autenticazione in modo programmatico per Anti Money Laundering AI. Il modo in cui ti autentica per Anti Money Laundering AI dipende dall'interfaccia utilizzata per accedere all'API e dall'ambiente su cui viene eseguito il codice.

Per ulteriori informazioni sull'autenticazione Google Cloud, consulta la panoramica dell'autenticazione.

Accesso API

AML AI supporta l'accesso programmatico. Puoi accedere all'API nei seguenti modi:

REST

REST

Puoi autenticarti ad AML AIAPI utilizzando le tue credenziali gcloud CLI o le Credenziali predefinite dell'applicazione. Per maggiori informazioni sull'autenticazione per le richieste REST, consulta Autenticazione per l'utilizzo di REST. Per informazioni sui tipi di credenziali, consulta Credenziali dell'interfaccia a riga di comando gcloud e credenziali ADC.

Configura l'autenticazione per AML AI

La modalità di configurazione dell'autenticazione dipende dall'ambiente in cui viene eseguito il codice.

Le seguenti opzioni per la configurazione dell'autenticazione sono quelle più utilizzate. Per ulteriori opzioni e informazioni sull'autenticazione, consulta la sezione Autenticazione su Google.

Per un ambiente di sviluppo locale

Puoi configurare le credenziali per un ambiente di sviluppo locale nei seguenti modi:

Credenziali utente per librerie client o strumenti di terze parti
Credenziali utente per le richieste REST dalla riga di comando

Librerie client o strumenti di terze parti

Configura le Credenziali predefinite dell'applicazione (ADC) nel tuo ambiente locale:

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```

Create local authentication credentials for your user account:
```
gcloud auth application-default login
```
Viene visualizzata una schermata di accesso. Dopo l'accesso, le tue credenziali vengono archiviate nel file delle credenziali locali utilizzato da ADC.

Per maggiori informazioni su come utilizzare ADC in un ambiente locale, consulta Ambiente di sviluppo locale.

Richieste REST dalla riga di comando

Quando effettui una richiesta REST dalla riga di comando, puoi utilizzare le credenziali gcloud CLI includendo gcloud auth print-access-token nel comando che invia la richiesta.

Nell'esempio seguente sono elencati gli account di servizio per il progetto specificato. Puoi utilizzare lo stesso pattern per qualsiasi richiesta REST.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud.

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts" | Select-Object -Expand Content

Per maggiori informazioni sull'autenticazione mediante REST e gRPC, consulta Eseguire l'autenticazione per utilizzare REST. Per informazioni sulla differenza tra le credenziali ADC locali e le credenziali ADC di gcloud CLI, consulta Credenziali dell'interfaccia a riga di comando gcloud e credenziali ADC.

Su Google Cloud

Per autenticare un carico di lavoro in esecuzione su Google Cloud, devi utilizzare le credenziali dell'account di servizio collegato alla risorsa di computing su cui è in esecuzione il codice. Ad esempio, puoi collegare un account di servizio a un'istanza di macchina virtuale (VM) Compute Engine, a un servizio Cloud Run o a un job Dataflow. Questo approccio è il metodo di autenticazione preferito per il codice in esecuzione su una risorsa di computing Google Cloud.

Per la maggior parte dei servizi, devi collegare l'account di servizio quando crei la risorsa che eseguirà il codice. Non puoi aggiungere o sostituire l'account di servizio in un secondo momento. Compute Engine è un'eccezione: ti consente di collegare un account di servizio a un'istanza VM in qualsiasi momento.

Utilizza gcloud CLI per creare un account di servizio e collegarlo alla tua risorsa:

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Set up authentication:
1. Create the service account:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Replace SERVICE_ACCOUNT_NAME with a name for the service account.
2. To provide access to your project and your resources, grant a role to the service account:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account
  - PROJECT_ID: the project ID where you created the service account
  - ROLE: the role to grant
  Note: The --role flag affects which resources the service account can access in your project. You can revoke these roles or grant additional roles later. In production environments, do not grant the Owner, Editor, or Viewer roles. Instead, grant a predefined role or custom role that meets your needs.
3. To grant another role to the service account, run the command as you did in the previous step.
4. Grant the required role to the principal that will attach the service account to other resources.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account
  - PROJECT_ID: the project ID where you created the service account
  - USER_EMAIL: the email address for a Google Account
Crea la risorsa che eseguirà il codice e collega l'account di servizio alla risorsa. Ad esempio, se utilizzi Compute Engine:
Create a Compute Engine instance. Configure the instance as follows:
- Sostituisci INSTANCE_NAME con il tuo preferito del nome dell'istanza.
- Imposta il flag --zone su zona in cui creare per l'istanza.
- Imposta il flag --service-account sull'indirizzo email dell'account di servizio che hai creato.

Per maggiori informazioni sull'autenticazione nelle API di Google, consulta Autenticazione su Google.

On-premise o su un cloud provider diverso

Il metodo preferito per configurare l'autenticazione dall'esterno di Google Cloud è utilizzare la federazione delle identità per i carichi di lavoro. Per maggiori informazioni, consulta On-premise o un altro cloud provider nella documentazione sull'autenticazione.

Controllo dell'accesso per AML AI

Dopo l'autenticazione ad AML AI, devi disporre dell'autorizzazione per accedere alle risorse Google Cloud. AML AI utilizza Identity and Access Management (IAM) per l'autorizzazione.

Per maggiori informazioni sui ruoli per AML AI, consulta Controllo dell'accesso con IAM. Per maggiori informazioni su IAM e autorizzazione, consulta la panoramica IAM.

Passaggi successivi

Scopri di più sui metodi di autenticazione di Google Cloud.
Consulta un elenco di casi d'uso per l'autenticazione.