Ruoli per l'autenticazione dell'account di servizio

Le entità possono utilizzare gli account di servizio per eseguire l'autenticazione in diversi modi. Ogni tipo di autenticazione richiede che l'entità disponga di autorizzazioni IAM (Identity and Access Management) specifiche per l'account di servizio.

Questa pagina descrive i ruoli che puoi concedere alle entità per consentir loro di impersonare gli account di servizio o collegarli alle risorse. Inoltre, descrive le autorizzazioni necessarie in scenari comuni.

Per scoprire i diversi modi per autenticarsi con un account di servizio, consulta Credenziali degli account di servizio e Rappresentazione dell'account di servizio.

Ruoli del service account

Questa sezione descrive i ruoli che consentono alle entità di autenticarsi con gli account di servizio. Per scoprire come concedere e revocare questi ruoli, consulta Gestire l'accesso agli account di servizio.

Ruolo Utente account di servizio

Il ruolo Utente account di servizio (roles/iam.serviceAccountUser) consente a un'entità di collegare un account di servizio a una risorsa. Quando il codice eseguito su quella risorsa deve autenticarsi, può ottenere le credenziali per l'account di servizio collegato.

Questo ruolo non consente ai principali di creare credenziali di breve durata per gli account di servizio o di utilizzare il flag --impersonate-service-account per la Google Cloud CLI. Per completare queste attività, devi disporre del ruolo Creatore token account di servizio nell'account di servizio.

Ruolo Creatore token account di servizio

Il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) consente ai principali di creare credenziali di breve durata per un account di servizio.

Il ruolo Creatore token account di servizio ti consente di creare i seguenti tipi di credenziali di breve durata:

  • Token di accesso OAuth 2.0, che puoi utilizzare per autenticarti con le API di Google
  • Token ID OpenID Connect (OIDC)
  • Token web JSON (JWT) firmati e blob binari

Il ruolo Creatore token account di servizio consente inoltre ai principali di utilizzare il flag --impersonate-service-account per gcloud CLI. Quando utilizzi questo flag, la gcloud CLI crea automaticamente credenziali di breve durata per l'account di servizio.

Le autorizzazioni del ruolo includono quanto segue:

  • iam.serviceAccounts.getAccessToken: consente di creare token di accesso OAuth 2.0
  • iam.serviceAccounts.getOpenIdToken: consente di creare token identificativi OpenID Connect (OIDC)
  • iam.serviceAccounts.implicitDelegation: consente agli account di servizio di ottenere token in una catena di delega
  • iam.serviceAccounts.signBlob: consente di firmare i blob binari
  • iam.serviceAccounts.signJwt: consente di firmare i JWT

Service Account OpenID Connect Identity Token Creator

Il ruolo Creatore token di identità OpenID Connect dell'account di servizio (roles/iam.serviceAccountOpenIdTokenCreator) consente ai principali di creare token ID OIDC di breve durata. Se devi solo creare token ID OIDC, utilizza questo ruolo. Se devi creare altri tipi di token, utilizza il ruolo Creatore token account di servizio.

Il ruolo include l'autorizzazione iam.serviceAccounts.getOpenIdToken, che consente di creare un token ID OIDC.

Ruolo utente Workload Identity

Il ruolo Utente Workload Identity (roles/iam.workloadIdentityUser) consente ai principali di rubare l'identità degli account di servizio dei workload GKE.

Le autorizzazioni del ruolo includono quanto segue:

  • iam.serviceAccounts.getAccessToken: consente di creare token di accesso OAuth 2.0
  • iam.serviceAccounts.getOpenIdToken: consente di creare token ID OpenID Connect (OIDC)

Autorizzazioni del service account per scenari comuni

Gli account di servizio possono essere utilizzati in molti scenari diversi e ognuno richiede determinate autorizzazioni. Questa sezione descrive scenari comuni e le autorizzazioni richieste.

Collegamento degli account di servizio alle risorse

Se vuoi avviare un job a lungo termine che si autentica come account di servizio, devi collegare un account di servizio alla risorsa che eseguirà il job.

Autorizzazioni:

  • Autorizzazioni per creare la risorsa
  • iam.serviceAccounts.actAs

Per trovare i ruoli che includono queste autorizzazioni, cerca le autorizzazioni nell'elenco dei ruoli.

Esistono diverse risorse Google Cloud che possono eseguire job di lunga durata come account di servizio. Ecco alcuni esempi di queste risorse:

  • VM Compute Engine
  • App di App Engine
  • Funzioni Cloud Run

Quando crei queste risorse, hai la possibilità di collegare un account di servizio. Questo account di servizio funge da identità della risorsa.

Per creare una risorsa e collegare un account di servizio, devi disporre delle autorizzazioni per creare la risorsa e collegare l'account di servizio alle risorse. Autorizzazione per collegare gli account di servizio alle risorse fornite da qualsiasi ruolo che include l'autorizzazione iam.serviceAccounts.actAs, ad esempio il ruolo Utente account di servizio (roles/iam.serviceAccountUser).

Dopo aver creato la risorsa e avervi associato un account di servizio, puoi avviare un job a lungo termine sulla risorsa. Il job viene eseguito come account di servizio associato alla risorsa e utilizza questo account di servizio per autorizzare le richieste alle API Google Cloud.

Per scoprire di più sull'associazione degli account di servizio alle risorse, consulta Associare un account di servizio a una risorsa.

Rappresentazione di un account di servizio

Autorizzazioni:

  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt
  • iam.serviceAccounts.implicitDelegation

Ruoli:

  • roles/iam.serviceAccountTokenCreator (Creatore token account di servizio)

Una volta concesse le autorizzazioni richieste, un utente (o un altro account di servizio) può simulare l'identità dell'account di servizio in alcuni scenari comuni.

Innanzitutto, l'utente può autenticarsi come account di servizio. Ad esempio, possono recuperare le credenziali di breve durata per l'account di servizio utilizzando l'autorizzazione iam.serviceAccounts.getAccessToken e chiamando il metodo generateAccessToken(). In alternativa, possono utilizzare il flag --impersonate-service-account per gcloud CLI per rubare l'identità dell'account di servizio. Quando un utente si autentica come account di servizio, può emettere comandi per Google Cloud e accedere a tutte le risorse a cui ha accesso l'account di servizio.

In secondo luogo, l'utente può ottenere gli elementi firmati dalla chiave privata gestita da Google dell'account di servizio utilizzando l'autorizzazione iam.serviceAccounts.signBlob e chiamando il metodo signBlob() o signJwt(). La chiave privata gestita da Google viene sempre conservata in custodia e non è mai direttamente esposta. signBlob() consente la firma di payload arbitrari (ad esempio URL firmati da Cloud Storage), mentre signJwt() consente la firma solo di JWT con formato corretto.

Infine, l'utente può rubare l'identità dell'account di servizio senza mai recuperare una credenziale per l'account di servizio. Si tratta di un caso d'uso avanzato ed è supportato solo per l'accesso programmatico utilizzando il metodo generateAccessToken(). In scenari con almeno tre account di servizio, ovvero A, B e C: l'account di servizio A può ottenere un token di accesso per l'account di servizio C se all'account di servizio A viene concessa l'autorizzazione iam.serviceAccounts.implicitDelegation su B e a B viene concessa l'autorizzazione iam.serviceAccounts.getAccessToken su C.

Generazione di token ID OpenID Connect (OIDC)

Autorizzazioni:

  • iam.serviceAccounts.getOpenIdToken

Ruoli:

  • roles/iam.serviceAccountOpenIdTokenCreator (Service Account OpenID Connect Identity Token Creator)

Un utente (o un servizio) può generare un token JWT compatibile con OpenID Connect (OIDC) firmato dal provider OIDC di Google (accounts.google.com) che rappresenta l'identità dell'account di servizio utilizzando l'autorizzazione iam.serviceAccounts.getOpenIdToken.

Questi token non sono accettati direttamente dalla maggior parte delle API di Google senza che la tua organizzazione implementi una federazione delle identità aggiuntiva per concedere l'accesso a Google.

Generazione di chiavi private esterne

Autorizzazioni:

  • iam.serviceAccountKeys.create

Ruoli:

  • roles/editor (editor)
  • roles/iam.serviceAccountKeyAdmin (Amministratore chiavi account di servizio)

Un utente o un servizio può generare materiale della chiave privata esterna (RSA) che può essere utilizzato per eseguire l'autenticazione direttamente in Google come account di servizio. Questo materiale della chiave può essere utilizzato con le librerie ADC (Credenziali predefinite dell'applicazione) o con il comando gcloud auth activate-service-account. Chiunque ottenga l'accesso al materiale della chiave avrà quindi accesso completo a tutte le risorse a cui ha accesso l'account di servizio. Questo materiale relativo alle chiavi private deve essere trattato con la massima attenzione e deve essere considerato meno sicuro quanto più a lungo esiste. Pertanto, la rotazione del materiale delle chiavi private è fondamentale per mantenere una sicurezza elevata.

Autorizzazioni account di servizio che attivano altre funzionalità

Alcune autorizzazioni per le credenziali del account di servizio attivano più funzionalità. Ad esempio, iam.serviceAccounts.signBlob e iam.serviceAccounts.signJwt consentono anche alle entità di generare token di accesso e token ID per un account di servizio. Inoltre, poiché iam.serviceAccounts.signBlob consente alle entità di firmare qualsiasi tipo di dati, consente anche di firmare i JWT.

Prima di aggiungere una di queste autorizzazioni ai ruoli personalizzati, assicurati di comprendere le azioni consentite da ciascuna autorizzazione.

La tabella seguente mostra le operazioni consentite da queste autorizzazioni:

Autorizzazione Operazioni abilitate
iam.serviceAccounts.getAccessToken Ottieni un token di accesso per l'account di servizio
iam.serviceAccounts.getOpenIdToken Ottieni un token ID per l'account di servizio
iam.serviceAccounts.signJwt
  • Firmare un JWT
  • Ottieni un token di accesso o un token ID per l'account di servizio utilizzando un token JWT bearer.
iam.serviceAccounts.signBlob
  • Firma qualsiasi tipo di blob, inclusi i JWT
  • Ottieni un token di accesso o un token ID per l'account di servizio utilizzando un token JWT bearer.

Best practice per l'assegnazione dei ruoli agli account di servizio

Negli scenari in cui a un account di servizio sono state concesse autorizzazioni per eseguire operazioni con privilegi elevati, fai attenzione quando assegni il ruolo Utente account di servizio o le autorizzazioni incluse a un utente dell'account di servizio.

Gli account di servizio rappresentano la sicurezza a livello di servizio. La sicurezza del servizio è determinata dalle persone che dispongono dei ruoli IAM per gestire e utilizzare gli account di servizio e da quelle che detengono le chiavi degli account di servizio per questi account. Le best practice per garantire la sicurezza includono:

  • Utilizza l'API IAM per controllare gli account di servizio, le chiavi e i criteri di autorizzazione su questi account di servizio.
  • Se i tuoi account di servizio non richiedono chiavi, disattivali o eliminali.
  • Se gli utenti non hanno bisogno dell'autorizzazione per gestire o utilizzare gli account di servizio, rimuovili dal criterio di autorizzazione applicabile.
  • Scopri come la concessione di determinate autorizzazioni per gli account di servizio può attivare efficacemente altre funzionalità.
  • Assicurati che gli account di servizio abbiano il minor numero possibile di autorizzazioni. Utilizza gli account di servizio predefiniti con cautela, in quanto viene loro assegnato automaticamente il ruolo Editor (roles/editor) nel progetto.

Per scoprire di più sulle best practice, consulta Best practice per l'utilizzo degli account di servizio.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente