Disabilita e abilita le chiavi degli account di servizio

Questa pagina spiega come disattivare e abilitare le chiavi degli account di servizio utilizzando la console Google Cloud, Google Cloud CLI, l'API Identity and Access Management o una delle librerie client di Google Cloud.

Prima di iniziare

Attiva IAM API.
Abilita l'API
Scopri di più sulle credenziali dell'account di servizio.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per disabilitare e abilitare le chiavi degli account di servizio, chiedi al tuo amministratore di concederti il ruolo IAM Amministratore chiavi di account account di servizio (roles/iam.serviceAccountKeyAdmin) per il progetto o l'account di servizio di cui vuoi gestire le chiavi. Per saperne di più sulla concessione dei ruoli, vedi Gestire l'accesso.

Potresti anche ottenere le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni, consulta Ruoli degli account di servizio.

I ruoli IAM di base contengono anche le autorizzazioni per gestire le chiavi degli account di servizio. Non devi concedere ruoli di base in un ambiente di produzione, ma puoi farlo in un ambiente di sviluppo o test.

Disabilita una chiave dell'account di servizio

La disattivazione di una chiave dell'account di servizio ti impedisce di utilizzarla per l'autenticazione con le API di Google. Puoi attivare una chiave disabilitata in qualsiasi momento.

Prima di eliminare una chiave dell'account di servizio, ti consigliamo di disabilitare la chiave e di attendere finché la chiave non ti serve più. Dopodiché puoi eliminare la chiave.

Puoi visualizzare le chiavi disattivate nella console Google Cloud, ma non puoi utilizzare la console Google Cloud per disattivare una chiave. Utilizza invece l'interfaccia a riga di comando gcloud o l'API REST.

gcloud

Esegui il comando gcloud iam service-accounts keys disable per disabilitare una chiave dell'account di servizio.

Sostituisci i seguenti valori:

KEY_ID: l'ID della chiave da disattivare. Per trovare l'ID della chiave, elenca tutte le chiavi per l'account di servizio, identifica la chiave che vuoi disattivare e poi copia il relativo ID.
SA_NAME: il nome dell'account di servizio a cui appartiene la chiave.
PROJECT_ID: il tuo ID progetto Google Cloud.

gcloud iam service-accounts keys disable KEY_ID \
    --iam-account=SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --project=PROJECT_ID

Output:

Disabled key [KEY_ID] for service account
[SA_NAME@PROJECT_ID.iam.gserviceaccount.com]

REST

Il metodo projects.serviceAccounts.keys.disable disabilita una chiave dell'account di servizio.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
SA_NAME: il nome dell'account di servizio di cui vuoi disattivare la chiave.
KEY_ID: l'ID della chiave che vuoi disattivare. Per trovare l'ID della chiave, elenca tutte le chiavi per l'account di servizio, identifica la chiave che vuoi disabilitare e poi copia il relativo ID dalla fine del campo name. L'ID della chiave è tutto dopo il giorno keys/.

Metodo e URL HTTP:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/KEY_ID:disable

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d "" \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/KEY_ID:disable"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/KEY_ID:disable" | Select-Object -Expand Content

Explorer API (browser)

Apri la pagina di riferimento del metodo. Il riquadro Explorer API si apre sul lato destro della pagina. Puoi interagire con questo strumento per inviare richieste. Compila tutti i campi obbligatori e fai clic su Esegui.

Dovresti ricevere una risposta JSON simile alla seguente:

{
}

Abilita una chiave dell'account di servizio

Dopo aver disabilitato una chiave dell'account di servizio, puoi attivarla in qualsiasi momento, quindi utilizzare la chiave per eseguire l'autenticazione con le API di Google.

Non puoi utilizzare la console Google Cloud per abilitare le chiavi degli account di servizio. Utilizza l'interfaccia a riga di comando gcloud o l'API REST.

gcloud

Esegui il comando gcloud iam service-accounts keys enable per abilitare una chiave dell'account di servizio.

Sostituisci i seguenti valori:

KEY_ID: l'ID della chiave da attivare. Per trovare l'ID della chiave, elenca tutte le chiavi per l'account di servizio, identifica la chiave che vuoi abilitare e copiane l'ID.
SA_NAME: il nome dell'account di servizio a cui appartiene la chiave.
PROJECT_ID: il tuo ID progetto Google Cloud.

gcloud iam service-accounts keys enable KEY_ID \
    --iam-account=SA_NAME@PROJECT_ID.iam.gserviceaccount.com\
    --project=PROJECT_ID

Output:

Enabled key [KEY_ID] for service account
[SA_NAME@PROJECT_ID.iam.gserviceaccount.com]

REST

Il metodo projects.serviceAccounts.keys.enable abilita una chiave dell'account di servizio.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
SA_NAME: il nome dell'account di servizio di cui vuoi abilitare la chiave.
KEY_ID: l'ID della chiave che vuoi attivare. Per trovare l'ID della chiave, elenca tutte le chiavi per l'account di servizio, identifica la chiave che vuoi abilitare e copiane l'ID alla fine del campo name. L'ID della chiave è tutto dopo il giorno keys/.

Metodo e URL HTTP:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/KEY_ID:enable

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d "" \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/KEY_ID:enable"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/KEY_ID:enable" | Select-Object -Expand Content

Explorer API (browser)

Dovresti ricevere una risposta JSON simile alla seguente:

{
}

Passaggi successivi

Scopri come eliminare le chiavi degli account di servizio.
Scopri come elencare e recuperare le chiavi degli account di servizio.
Scopri come utilizzare le chiavi degli account di servizio per autenticarti come account di servizio.
Consulta le best practice per la gestione delle chiavi degli account di servizio.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente