Questa pagina spiega come disattivare e abilitare le chiavi degli account di servizio utilizzando la console Google Cloud, Google Cloud CLI, l'API Identity and Access Management o una delle librerie client di Google Cloud.
Prima di iniziare
Attiva IAM API.
Comprendi le credenziali dell'account di servizio.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per disabilitare e abilitare le chiavi dell'account di servizio,
chiedi all'amministratore di concederti il ruolo IAM
Amministratore chiavi account di servizio (roles/iam.serviceAccountKeyAdmin
) nel progetto o l'account di servizio di cui vuoi gestire
le chiavi.
Per ulteriori informazioni sulla concessione dei ruoli, consulta
Gestire l'accesso.
Per ulteriori informazioni, consulta Ruoli degli account di servizio.
I ruoli IAM di base contengono anche le autorizzazioni per gestire le chiavi degli account di servizio. Non devi concedere ruoli di base in un ambiente di produzione, ma puoi farlo in un ambiente di sviluppo o test.
Disattiva una chiave dell'account di servizio
La disattivazione di una chiave dell'account di servizio impedisce di utilizzare la chiave per l'autenticazione con le API di Google. Puoi attivare una chiave disabilitata in qualsiasi momento.
Prima di eliminare una chiave dell'account di servizio, ti consigliamo di disattivare la chiave e di attendere fino a quando non avrai la certezza che la chiave non sia più necessaria. Successivamente, potrai eliminare la chiave.
Puoi visualizzare le chiavi disattivate nella console Google Cloud, ma non puoi utilizzarla per disabilitare una chiave. Utilizza invece l'interfaccia a riga di comando gcloud o l'API REST.
gcloud CLI
Esegui il comando gcloud iam service-accounts keys disable
per disabilitare una chiave dell'account di servizio.
Sostituisci i seguenti valori:
KEY_ID
: l'ID della chiave da disattivare. Per trovare l'ID della chiave, elenca tutte le chiavi per l'account di servizio, identifica la chiave che vuoi disabilitare e copiane l'ID.SA_NAME
: il nome dell'account di servizio a cui appartiene la chiave.PROJECT_ID
: il tuo ID progetto Google Cloud.
gcloud iam service-accounts keys disable KEY_ID \ --iam-account=SA_NAME@PROJECT_ID.iam.gserviceaccount.com
Output:
Disabled key [KEY_ID] for service account [SA_NAME@PROJECT_ID.iam.gserviceaccount.com]
REST
Il metodo
projects.serviceAccounts.keys.disable
disabilita una chiave dell'account di servizio.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche comemy-project
.SA_NAME
: il nome dell'account di servizio di cui vuoi disattivare la chiave.KEY_ID
: l'ID della chiave che vuoi disattivare. Per trovare l'ID della chiave, elenca tutte le chiavi per l'account di servizio, identifica la chiave che vuoi disabilitare e poi copiane l'ID dalla fine del camponame
. L'ID della chiave è tutto dopokeys/
.
Metodo e URL HTTP:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/KEY_ID:disable
Per inviare la richiesta, espandi una delle seguenti opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ }
Abilita una chiave dell'account di servizio
Dopo aver disabilitato una chiave dell'account di servizio, puoi attivarla in qualsiasi momento, quindi utilizzare la chiave per l'autenticazione con le API di Google.
Non puoi utilizzare la console Google Cloud per abilitare le chiavi degli account di servizio. Utilizza invece l'interfaccia a riga di comando gcloud o l'API REST.
gcloud CLI
Esegui il comando gcloud iam service-accounts keys enable
per abilitare una chiave dell'account di servizio.
Sostituisci i seguenti valori:
KEY_ID
: l'ID della chiave da attivare. Per trovare l'ID della chiave, elenca tutte le chiavi per l'account di servizio, identifica la chiave che vuoi attivare e copiane l'ID.SA_NAME
: il nome dell'account di servizio a cui appartiene la chiave.PROJECT_ID
: il tuo ID progetto Google Cloud.
gcloud iam service-accounts keys enable KEY_ID \ --iam-account=SA_NAME@PROJECT_ID.iam.gserviceaccount.com
Output:
Enabled key [KEY_ID] for service account [SA_NAME@PROJECT_ID.iam.gserviceaccount.com]
REST
Il metodo
projects.serviceAccounts.keys.enable
abilita una chiave dell'account di servizio.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche comemy-project
.SA_NAME
: nome dell'account di servizio di cui vuoi attivare la chiave.-
KEY_ID
: l'ID della chiave che vuoi attivare. Per trovare l'ID della chiave, elenca tutte le chiavi per l'account di servizio, identifica la chiave che vuoi attivare e copiane l'ID alla fine del camponame
. L'ID della chiave è tutto dopo il giornokeys/
.
Metodo e URL HTTP:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/KEY_ID:enable
Per inviare la richiesta, espandi una delle seguenti opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ }
Passaggi successivi
- Scopri come eliminare le chiavi degli account di servizio.
- Scopri come elencare e recuperare le chiavi dell'account di servizio.
- Scopri come utilizzare le chiavi dell'account di servizio per autenticarti come account di servizio.
- Consulta le best practice per la gestione delle chiavi degli account di servizio.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente