Rotazione della chiave dell'account di servizio

Le chiavi dell'account di servizio sono chiavi private che ti consentono di eseguire l'autenticazione come account di servizio. La rotazione della chiave è il processo di sostituzione delle chiavi esistenti con nuove chiavi e di invalidazione delle chiavi sostituite. Ti consigliamo di ruotare regolarmente tutte le chiavi che gestisci, incluse le chiavi degli account di servizio.

La rotazione delle chiavi dell'account di servizio può aiutare a ridurre il rischio causato dalla perdita o dal furto delle chiavi. Se una chiave viene trapelata, i malintenzionati potrebbero impiegare giorni o settimane per scoprirla. Se ruoti regolarmente le chiavi dell'account di servizio, c'è una maggiore possibilità che le chiavi divulgate non siano più valide nel momento in cui un utente malintenzionato le riceve.

Avere un processo consolidato per la rotazione delle chiavi degli account di servizio consente inoltre di agire rapidamente se sospetti che una chiave dell'account di servizio sia stata compromessa.

Frequenza di rotazione delle chiavi

Ti consigliamo di ruotare le chiavi almeno ogni 90 giorni per ridurre il rischio costituito da chiavi divulgate.

Se ritieni che una chiave dell'account di servizio sia stata compromessa, ti consigliamo di ruotarla immediatamente.

Processo di rotazione della chiave

Per ruotare le chiavi degli account di servizio:

1. Identifica le chiavi dell'account di servizio che devono essere ruotate.
2. Creare nuove chiavi per gli stessi account di servizio.
3. Sostituisci le chiavi esistenti con quelle nuove in tutte le applicazioni.
4. Disattiva le chiavi sostituite e monitora le applicazioni per verificare che funzionino come previsto.
5. Elimina le chiavi dell'account di servizio che sono state sostituite.

Puoi completare questi passaggi utilizzando un servizio di gestione dei secret centralizzato o utilizzando un sistema di notifica personalizzato.

Servizio di gestione dei secret centralizzato

Molti servizi centralizzati di gestione dei secret, come HashiCorp Vault, offrono la rotazione automatica dei secret. Puoi utilizzare questi servizi per archiviare e ruotare le chiavi degli account di servizio.

Non è consigliabile utilizzare Secret Manager di Google Cloud per archiviare e ruotare le chiavi degli account di servizio. Il motivo è che, per accedere ai secret di Secret Manager, la tua applicazione deve avere un'identità che Google Cloud sia in grado di riconoscere. Se la tua applicazione ha già un'identità che Google Cloud è in grado di riconoscere, può utilizzare quell'identità per l'autenticazione in Google Cloud anziché utilizzare una chiave dell'account di servizio.

Lo stesso concetto si applica ad altri servizi di gestione dei secret basati su cloud, come Azure KeyVault e AWS Secret Manager. Se un'applicazione dispone già di un'identità che questi cloud provider sono in grado di riconoscere, potrebbero utilizzarla per l'autenticazione in Google Cloud anziché utilizzare una chiave dell'account di servizio.

Sistema di notifica personalizzato

Un altro approccio alla rotazione della chiave dell'account di servizio consiste nel creare un sistema che invii notifiche quando è necessario ruotare le chiavi. Ad esempio, puoi creare un sistema che invia avvisi quando rileva chiavi create più di 90 giorni prima.

Innanzitutto, devi identificare le chiavi da ruotare. Per identificare queste chiavi, consigliamo di utilizzare Cloud Asset Inventory per cercare tutte le chiavi degli account di servizio create prima di un determinato periodo di tempo.

Ad esempio, il comando seguente elenca tutte le chiavi dell'account di servizio create prima del giorno 2023-03-10 00:00:00 UTC nell'organizzazione con l'ID 123456789012:

gcloud asset search-all-resources \
    --scope="organizations/123456789012" \
    --query="createTime < 2023-03-10" \
    --asset-types="iam.googleapis.com/ServiceAccountKey" \
    --order-by="createTime"

Per scoprire di più sulla ricerca di risorse in Cloud Asset Inventory, consulta Ricerca delle risorse. Dopo aver identificato le chiavi che devono essere ruotate, puoi inviare notifiche ai team appropriati.

Quando qualcuno riceve la notifica di ruotare una chiave, deve:

1. Crea una nuova chiave per lo stesso account di servizio.
2. Sostituisci la chiave esistente con quella nuova in tutte le applicazioni.
3. Disattiva la chiave sostituita e monitora le applicazioni per verificare che funzionino come previsto.
4. Dopo aver confermato che le applicazioni funzionano come previsto, elimina la chiave sostituita.

Chiavi dell'account di servizio in scadenza

Non è consigliabile utilizzare chiavi degli account di servizio con scadenza per rotazione della chiave. Questo perché le chiavi in scadenza possono causare interruzioni se non vengono ruotate correttamente. Per ulteriori informazioni sui casi d'uso delle chiavi degli account di servizio in scadenza, consulta Tempi di scadenza delle chiavi gestite dall'utente.

Passaggi successivi

• Utilizza Cloud Asset Inventory per cercare risorse, incluse le chiavi degli account di servizio, per data e ora di creazione.
• Creare, disabilitare ed eliminare le chiavi dell'account di servizio.