Carica le chiavi del account di servizio

Questa pagina spiega come caricare una chiave pubblica per un account di servizio. Dopo aver caricato la chiave pubblica, puoi utilizzare la chiave privata della coppia di chiavi per autenticarti come account di servizio.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per caricare le chiavi dell'account di servizio, chiedi all'amministratore di concederti il ruolo IAM Amministratore chiavi account di servizio (roles/iam.serviceAccountKeyAdmin) nel progetto o nell'account di servizio di cui vuoi gestire le chiavi. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni, consulta Ruoli degli account di servizio.

A seconda della configurazione dei criteri dell'organizzazione, potrebbe anche essere necessario consentire il caricamento delle chiavi dell'account di servizio nel progetto prima di caricare una chiave.

Per ottenere le autorizzazioni necessarie per consentire il caricamento delle chiavi dell'account di servizio in un progetto, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per consentire il caricamento delle chiavi dell'account di servizio in un progetto. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per consentire il caricamento delle chiavi dell'account di servizio in un progetto sono necessarie le seguenti autorizzazioni:

  • orgpolicy.constraints.list
  • orgpolicy.customConstraints.create
  • orgpolicy.customConstraints.delete
  • orgpolicy.customConstraints.get
  • orgpolicy.customConstraints.list
  • orgpolicy.customConstraints.update
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set
  • resourcemanager.organizations.get
  • resourcemanager.projects.listTagBindings
  • resourcemanager.projects.listEffectiveTags
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Consenti il caricamento delle chiavi del account di servizio

Prima di creare una chiave dell'account di servizio, assicurati che il vincolo del criterio dell'organizzazione iam.disableServiceAccountKeyUpload non sia applicato per il tuo progetto. Se questo vincolo viene applicato al tuo progetto, non puoi caricare le chiavi degli account di servizio in quel progetto.

Ti consigliamo di applicare questo vincolo alla maggior parte dei progetti e di esentare solo quelli che richiedono effettivamente le chiavi del account di servizio. Per saperne di più sui metodi di autenticazione alternativi, vedi Scegliere il metodo di autenticazione più adatto al tuo caso d'uso.

Per esentare un progetto dal vincolo relativo alle iam.disableServiceAccountKeyUpload policy dell'organizzazione, chiedi a un amministratore dei criteri dell'organizzazione di svolgere i seguenti passaggi:

  1. A livello di organizzazione, crea una chiave e un valore del tag che utilizzerai per definire se una risorsa deve essere esente dai criteri dell'organizzazione. Ti consigliamo di creare un tag con la chiave disableServiceAccountKeyUpload e i valori enforced e not_enforced.

    Per scoprire come creare chiavi e valori dei tag, consulta Creare e definire un nuovo tag.

  2. Collega il tag disableServiceAccountKeyUpload all'organizzazione e impostane il valore su enforced. Tutte le risorse dell'organizzazione ereditano questo valore del tag, a meno che non venga sovrascritto con un valore del tag diverso.

    Per scoprire come associare i tag alle risorse, consulta Associare i tag alle risorse.

  3. Per ogni progetto o cartella che vuoi esentare dai criteri dell'organizzazione, allega il tag disableServiceAccountKeyUpload e imposta il relativo valore su not_enforced. L'impostazione di un valore tag per un progetto o una cartella in questo modo sostituisce il valore tag ereditato dall'organizzazione.
  4. Crea o aggiorna il criterio dell'organizzazione che impedisce il caricamento delle chiavi account di servizio in modo che non applichi il vincolo per le risorse esenti. Queste norme devono avere le seguenti regole:

    • Configura il vincolo iam.disableServiceAccountKeyUpload in modo che non venga applicato alle risorse con il tag disableServiceAccountKeyUpload: not_enforced. La condizione in questa regola dovrebbe avere il seguente aspetto:

      "resource.matchTag('ORGANIZATION_ID/disableServiceAccountKeyUpload', 'not_enforced')"
      
    • Configura il vincolo iam.disableServiceAccountKeyUpload da applicare su tutte le altre risorse.

Carica una chiave pubblica per un account di servizio

Puoi caricare la parte di chiave pubblica di una coppia di chiavi gestita dall'utente per associarla a un account di servizio. Dopo aver caricato la chiave pubblica, puoi utilizzare la chiave privata della coppia di chiavi come chiave dell'account di servizio.

La chiave che carichi deve essere una chiave pubblica RSA inserita in un certificato X.509 v3 e codificata in base64. Puoi utilizzare strumenti come OpenSSL per generare una chiave e un certificato in questo formato.

Non includere informazioni private nel certificato X.509. In particolare, utilizza un argomento generico e non aggiungere attributi facoltativi. I certificati sono visibili pubblicamente; le informazioni private contenute nel certificato sono visibili a chiunque lo recuperi. Per ulteriori informazioni, consulta Evitare di divulgare informazioni riservate nei certificati X.509 caricati.

Ad esempio, il seguente comando genera una coppia di chiave RSA a 2048 bit e inserisce la chiave pubblica in un certificato autofirmato valido per 365 giorni:

openssl req -x509 -nodes -newkey rsa:2048 -days 365 \
    -keyout /path/to/private_key.pem \
    -out /path/to/public_key.pem \
    -subj "/CN=unused"

Puoi quindi caricare il file public_key.pem come chiave pubblica per un account di servizio.

Console

  1. Nella console Google Cloud, vai alla pagina Account di servizio.

    Vai ad Account di servizio

    I passaggi rimanenti vengono visualizzati nella console Google Cloud.

  2. Seleziona un progetto.
  3. Nella pagina Account di servizio, fai clic sull'indirizzo email dell'account di servizio per cui vuoi caricare una chiave.
  4. Fai clic sulla scheda Chiavi.
  5. Fai clic sul menu a discesa Aggiungi chiave, quindi seleziona Carica chiave esistente.
  6. Fai clic su Sfoglia, quindi trova e seleziona il file della chiave pubblica. In alternativa, puoi copiare e incollare il contenuto del file della chiave pubblica nella casella Incolla una chiave esistente.
  7. Fai clic su Carica.

gcloud

Esegui il comando gcloud iam service-accounts keys upload per caricare una chiave pubblica per la firma delle chiavi dell'account di servizio.

Sostituisci i seguenti valori:

  • KEY_FILE: il percorso del file contenente i dati chiave da caricare, ad esempio ./public_key.pem.
  • SA_NAME: il nome dell'account di servizio per cui caricare una chiave.
  • PROJECT_ID: l'ID del tuo progetto Google Cloud.
gcloud iam service-accounts keys upload KEY_FILE \
    --iam-account=SA_NAME@PROJECT_ID.iam.gserviceaccount.com

L'output contiene un identificatore univoco per la chiave caricata:

Name: projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/c7b74879da78e4cdcbe7e1bf5e129375c0bfa8d0

Per determinare se il comando è andato a buon fine, esegui il comando gcloud iam service-accounts keys list:

gcloud iam service-accounts keys list \
    --iam-account=SA_NAME@PROJECT_ID.iam.gserviceaccount.com

L'output conterrà lo stesso identificatore univoco restituito dopo la creazione della chiave:

KEY_ID CREATED_AT EXPIRES_AT DISATTIVATO
c7b74879da78e4cdcbe7e1bf5e129375c0bfa8d0 2019-06-26T21:01:42Z 9999-12-31T23:59:59Z  

REST

Il metodo projects.serviceAccounts.keys.upload carica la chiave pubblica da una coppia di chiavi gestita dall'utente e la aggiunge all'account di servizio.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
  • SA_NAME: il nome dell'account di servizio a cui associare la chiave.
  • PUBLIC_KEY_DATA: i dati della chiave pubblica per la coppia di chiavi. Deve essere una chiave pubblica RSA inserita in un certificato X.509 v3. Codifica i dati della chiave pubblica in base64, incluse la prima riga, -----BEGIN CERTIFICATE-----, e l'ultima riga, -----END CERTIFICATE-----.

Metodo HTTP e URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys:upload

Corpo JSON della richiesta:

{
  "publicKeyData": "PUBLIC_KEY_DATA"
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/c7b74879da78e4cdcbe7e1bf5e129375c0bfa8d0",
  "validAfterTime": "2020-05-17T19:31:19Z",
  "validBeforeTime": "2021-05-17T19:31:19Z",
  "keyAlgorithm": "KEY_ALG_RSA_2048",
  "keyOrigin": "USER_PROVIDED",
  "keyType": "USER_MANAGED"
}

Disattivare i caricamenti delle chiavi pubbliche

Per disattivare la possibilità di caricare le chiavi per il progetto, consulta Limitare il caricamento delle chiavi dell'account di servizio.

Passaggi successivi

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente