Le entità possono utilizzare gli account di servizio per eseguire l'autenticazione in diversi modi. Ogni tipo di autenticazione richiede che l'entità abbia specifiche Autorizzazioni IAM (Identity and Access Management) per l'account di servizio.
Questa pagina descrive i ruoli che puoi concedere alle entità per consentire impersonare account di servizio o di collegare account di servizio alle risorse. Inoltre, descrive le autorizzazioni necessarie in scenari comuni.
Per scoprire i diversi modi per autenticarsi con un account di servizio, consulta Credenziali degli account di servizio e Rappresentazione dell'account di servizio.
Ruoli del service account
Questa sezione descrive i ruoli che consentono alle entità di autenticarsi con gli account di servizio. Per scoprire come concedere e revocare questi ruoli, consulta Gestire l'accesso agli account di servizio.
Ruolo Utente account di servizio
Il ruolo Utente account di servizio (roles/iam.serviceAccountUser
) consente a un'entità di collegare un account di servizio a una risorsa. Quando il codice
in esecuzione su quella risorsa deve eseguire l'autenticazione, può ottenere le credenziali
con un account di servizio collegato.
Questo ruolo non consente alle entità di
creare credenziali di breve durata per gli account di servizio oppure per
utilizza il flag --impersonate-service-account
per
Google Cloud CLI. Per completare queste attività, devi disporre del
ruolo Creatore token account di servizio nell'account di servizio.
Ruolo Creatore token account di servizio
Il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
) consente ai principali di creare credenziali di breve durata per un account di servizio.
Il ruolo Creatore token account di servizio consente di creare i seguenti tipi di credenziali di breve durata:
- Token di accesso OAuth 2.0 che puoi utilizzare per l'autenticazione con le API di Google.
- Token ID OpenID Connect (OIDC)
- Token web JSON (JWT) firmati e blob binari
Il ruolo Creatore token account di servizio consente inoltre ai principali di utilizzare il flag --impersonate-service-account
per gcloud CLI. Quando utilizzi questo flag, la CLI gcloud
crea automaticamente credenziali di breve durata per l'account di servizio.
Le autorizzazioni del ruolo includono:
iam.serviceAccounts.getAccessToken
: consente di creare token di accesso OAuth 2.0iam.serviceAccounts.getOpenIdToken
: consente di creare token identificativi OpenID Connect (OIDC)iam.serviceAccounts.implicitDelegation
: consente agli account di servizio di ottenere token in una catena di delegaiam.serviceAccounts.signBlob
: consente di firmare BLOB binariiam.serviceAccounts.signJwt
: consente di firmare i JWT
Service Account OpenID Connect Identity Token Creator
Ruolo Creatore token di identità OpenID Connect account di servizio
(roles/iam.serviceAccountOpenIdTokenCreator
) consente alle entità
creare token ID OIDC di breve durata. Se devi solo creare token ID OIDC, utilizza questo ruolo. Se devi creare altri tipi di token, utilizza il ruolo Creatore token account di servizio.
Il ruolo include l'autorizzazione iam.serviceAccounts.getOpenIdToken
, che consente di creare un token ID OIDC.
Ruolo utente Workload Identity
Il ruolo Utente Workload Identity (roles/iam.workloadIdentityUser
) consente ai principali di rubare l'identità degli account di servizio dei carichi di lavoro GKE.
Le autorizzazioni del ruolo includono quanto segue:
iam.serviceAccounts.getAccessToken
: consente di creare token di accesso OAuth 2.0iam.serviceAccounts.getOpenIdToken
: consente di creare OpenID Connect (OIDC) token ID
Autorizzazioni per gli account di servizio per scenari comuni
Gli account di servizio possono essere utilizzati in molti scenari diversi e ognuno richiede determinate autorizzazioni. Questa sezione descrive scenari comuni e sono necessarie le autorizzazioni.
Collegamento degli account di servizio alle risorse
Se vuoi avviare un job a lunga esecuzione che si autentica come account di servizio, devi collegare un account di servizio alla risorsa che eseguirà il job.
Autorizzazioni:
- Autorizzazioni per creare la risorsa
iam.serviceAccounts.actAs
Per trovare i ruoli che includono queste autorizzazioni, cerca elenco dei ruoli per le autorizzazioni.
Esistono diverse risorse Google Cloud che possono essere eseguite i job a lunga esecuzione come account di servizio. Ecco alcuni esempi di risorse:
- VM Compute Engine
- App di App Engine
- Cloud Run Functions
Quando crei queste risorse, hai la possibilità di collegare un account di servizio. Questo account di servizio funge da identità della risorsa.
Per creare una risorsa e collegare un account di servizio, devi disporre delle autorizzazioni necessarie
e creare quella risorsa e autorizzazione per collegare l'account di servizio alle risorse.
Autorizzazione a collegare gli account di servizio alle risorse fornite da qualsiasi ruolo
include l'autorizzazione iam.serviceAccounts.actAs
, ad esempio
Ruolo Utente account di servizio (roles/iam.serviceAccountUser).
Dopo aver creato la risorsa e aver collegato un account di servizio, puoi iniziare un job a lunga esecuzione sulla risorsa. Il job viene eseguito come account di servizio associato alla risorsa e utilizza questo account di servizio per autorizzare le richieste alle API Google Cloud.
Per scoprire di più sul collegamento degli account di servizio alle risorse, consulta Collegamento di un account di servizio a una risorsa.
Furto d'identità di un account di servizio
Autorizzazioni:
iam.serviceAccounts.getAccessToken
iam.serviceAccounts.signBlob
iam.serviceAccounts.signJwt
iam.serviceAccounts.implicitDelegation
Ruoli:
roles/iam.serviceAccountTokenCreator
(Creatore token account di servizio)
Una volta concesse le autorizzazioni richieste, un utente (o un altro account di servizio) può l'account di servizio in alcuni scenari comuni.
Innanzitutto, l'utente può autenticarsi come account di servizio. Ad esempio, possono
ottenere credenziali di breve durata per l'account di servizio utilizzando
iam.serviceAccounts.getAccessToken
e chiamando il
generateAccessToken()
. In alternativa, possono utilizzare il flag --impersonate-service-account
per l'interfaccia a riga di comando gcloud per rubare l'identità dell'account di servizio. Quando un utente si autentica come account di servizio, può emettere comandi per Google Cloud e accedere a tutte le risorse a cui ha accesso l'account di servizio.
In secondo luogo, l'utente può far firmare gli artefatti alla chiave privata gestita da Google
l'account di servizio usando l'autorizzazione iam.serviceAccounts.signBlob
e
chiamando il metodo signBlob()
o signJwt()
.
La chiave privata gestita da Google viene sempre conservata come deposito a garanzia e non viene mai
esposte. signBlob()
consente la firma di payload arbitrari (come
gli URL firmati Cloud Storage), mentre signJwt()
consente solo la firma
JWT ben strutturati.
Infine, l'utente può rubare l'identità dell'account di servizio senza mai recuperare una credenziale per l'account di servizio. Si tratta di un caso d'uso avanzato, al momento
supportato per l'accesso programmatico utilizzando
generateAccessToken()
. In scenari con
almeno tre account di servizio, A, B e C: l'account di servizio A può ricevere
un token di accesso per l'account di servizio C se all'account di servizio A viene concesso
È stata concessa l'autorizzazione iam.serviceAccounts.implicitDelegation
su B e B
l'autorizzazione iam.serviceAccounts.getAccessToken
su C.
Generazione di token ID OpenID Connect (OIDC)
Autorizzazioni:
iam.serviceAccounts.getOpenIdToken
Ruoli:
roles/iam.serviceAccountOpenIdTokenCreator
(Service Account OpenID Connect Identity Token Creator)
Un utente (o un servizio) può generare un token JWT compatibile con OpenID Connect (OIDC)
firmato dal provider OIDC di Google (accounts.google.com) che rappresenta
identità dell'account di servizio mediante iam.serviceAccounts.getOpenIdToken
autorizzazione.
Questi token non sono accettati direttamente dalla maggior parte delle API di Google senza che la tua organizzazione implementi una federazione delle identità aggiuntiva per concedere l'accesso a Google. Esistono alcune eccezioni, ad esempio Identity-Aware Proxy, che consente Accesso basato su OIDC alle applicazioni eseguite dall'utente.
Generazione di chiavi private esterne
Autorizzazioni:
iam.serviceAccountKeys.create
Ruoli:
roles/editor
(editor)roles/iam.serviceAccountKeyAdmin
(Amministratore chiavi account di servizio)
Un utente o un servizio può generare materiale della chiave privata esterna (RSA) che può essere
utilizzato per l'autenticazione diretta in Google come account di servizio. Questo materiale della chiave può essere utilizzato con le librerie ADC (Application Default Credentials) o con il comando gcloud auth
activate-service-account
. Chiunque abbia accesso al materiale della chiave avrà quindi
e l'accesso a tutte le risorse a cui ha accesso l'account di servizio. Così privato
il materiale chiave deve essere trattato con la massima preoccupazione e deve essere
considerata meno sicura maggiore è la durata del materiale. Pertanto, la rotazione del materiale delle chiavi private è fondamentale per mantenere una sicurezza elevata.
Autorizzazioni account di servizio che attivano altre funzionalità
Alcune autorizzazioni per le credenziali del service account attivano più funzionalità.
Ad esempio, iam.serviceAccounts.signBlob
e
iam.serviceAccounts.signJwt
consente inoltre alle entità di generare token di accesso
ID token di un account di servizio. Inoltre, poiché
iam.serviceAccounts.signBlob
consente alle entità di firmare qualsiasi tipo di dati,
consente inoltre alle entità di firmare JWT.
Prima di aggiungere una qualsiasi di queste autorizzazioni ai ruoli personalizzati, assicurati di a capire le azioni consentite da ciascuna autorizzazione.
La tabella seguente mostra le operazioni abilitate da queste autorizzazioni:
Autorizzazione | Operazioni abilitate |
---|---|
iam.serviceAccounts.getAccessToken |
Ottieni un token di accesso per l'account di servizio |
iam.serviceAccounts.getOpenIdToken |
Ottenere un token ID per l'account di servizio |
iam.serviceAccounts.signJwt |
|
iam.serviceAccounts.signBlob |
|
Best practice per la concessione dei ruoli negli account di servizio
Negli scenari in cui a un account di servizio sono state concesse le autorizzazioni eseguire operazioni privilegiate, prestare attenzione quando concedi il Servizio Ruolo Utente account o le relative autorizzazioni incluse per un utente in quell'account di servizio.
Gli account di servizio rappresentano la sicurezza a livello di servizio. La sicurezza del servizio è determinata dalle persone che dispongono dei ruoli IAM per gestire e utilizzare gli account di servizio e da quelle che detengono le chiavi degli account di servizio per questi account. Le best practice per garantire la sicurezza includono:
- Utilizza l'API IAM per controllare gli account di servizio, le chiavi e i criteri di autorizzazione su questi account di servizio.
- Se i tuoi account di servizio non richiedono chiavi, disattivali o eliminali.
- Se gli utenti non hanno bisogno dell'autorizzazione per gestire o utilizzare gli account di servizio, dai criteri di autorizzazione applicabili.
- Scopri come è possibile concedere determinate autorizzazioni per gli account di servizio abilitare in modo efficace altre funzionalità.
- Assicurati che gli account di servizio abbiano il minor numero possibile di autorizzazioni. Utilizza
gli account di servizio predefiniti con cautela, in quanto
viene loro assegnato automaticamente il ruolo Editor (
roles/editor
) nel progetto.
Per scoprire di più sulle best practice, consulta Best practice per l'utilizzo degli account di servizio.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente