Questa pagina è stata tradotta dall'API Cloud Translation.

Autorizzazione dell'agente Logging

Questa guida spiega come garantire che l'agente Logging , che installi sull'istanza della macchina virtuale (VM), sia autorizzato a inviare dati di telemetria a Logging.

Panoramica dell'autorizzazione

Con autorizzazione si intende il processo di determinazione delle autorizzazioni di cui dispone un client autenticato per un insieme di risorse. Google Cloud autorizza l'agente Logging su un'istanza VM di Compute Engine utilizzando le credenziali predefinite dell'applicazione (ADC).

L'agente Logging supporta ADC che autentica un account di servizio collegato a una VM o una chiave account di servizio.

Un account di servizio collegato si riferisce a un account di servizio specifico di una determinata risorsa, ad esempio una VM. L'account di servizio ha le proprie credenziali univoche. ADC utilizza il server metadati della VM per ottenere le credenziali per un servizio.
Una chiave dell'account di servizio è una chiave privata utilizzata per autorizzare la coppia di chiavi su un account di servizio in un progetto, che consente di creare un token di accesso. Il token serve per fornire un'identità in modo da poter interagire con le API Google Cloud per conto dell'account di servizio.

Ti consigliamo di configurare l'ADC per autenticare un account di servizio collegato quando possibile, poiché la chiave privata richiede spazio di archiviazione locale e tale spazio di archiviazione può essere compromesso. Per ulteriori informazioni sulle chiavi degli account di servizio, consulta le best practice per la gestione delle chiavi degli account di servizio.

Per le istanze VM AWS EC2, l'agente Logging supporta l'autenticazione solo tramite il metodo della chiave dell'account di servizio.

Prima di iniziare

Leggi questa guida se una delle seguenti condizioni si applica al tuo caso:

Se esegui istanze di Compute Engine molto obsolete o se hai modificato gli ambiti di accesso o le impostazioni dell'account di servizio per le tue istanze Compute Engine, devi completare i passaggi in questa guida prima di installare l'agente. Queste VM potrebbero non avere il file chiave dell'account di servizio richiesto. Per informazioni su come verificare gli ambiti di accesso e le impostazioni dell'account di servizio delle istanze, consulta Verificare le credenziali di Compute Engine.

Nelle istanze VM di Compute Engine appena create, gli ambiti di accesso e le impostazioni dell'account di servizio sono sufficienti per eseguire gli agenti.
Se esegui istanze VM Amazon EC2 (AWS VC2), esegui le operazioni seguenti prima di installare l'agente:
1. Identifica il progetto di hosting AWS per l'account AWS con le istanze EC2. Il progetto di hosting è un progetto Google Cloud il cui unico scopo è archiviare le metriche e i log delle istanze EC2 in un account AWS.
  
  Se hai un progetto connettore AWS per un account AWS, il progetto connettore è il progetto di hosting AWS.
  
  Se non hai un progetto connettore AWS per l'account, cerca nei progetti Google Cloud esistenti per determinare se hai precedentemente creato un progetto di hosting AWS per l'account. Se viene trovato un progetto di hosting, utilizzalo.
  
  Se non riesci a trovare un progetto di hosting AWS per l'account, ti consigliamo di creare un progetto Google Cloud da usare come progetto di hosting. Se hai istanze EC2 in più account AWS, crea un progetto Google Cloud per ogni account. Ti consigliamo inoltre di utilizzare una convenzione di denominazione per questi progetti o di utilizzare etichette di progetto, in modo da poter identificare i progetti di hosting. Sconsigliamo di riutilizzare un progetto Google Cloud esistente, soprattutto se contiene risorse di Google Cloud.
2. Completa i passaggi per autorizzare l'agente utilizzando un file delle chiavi dell'account di servizio.

Per verificare gli ambiti di accesso, segui questi passaggi:

Esegui una query sugli ambiti di accesso eseguendo il comando seguente sull'istanza Compute Engine:

curl --silent --connect-timeout 1 -f -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/scopes

Nell'output comando, se l'ambito di accesso https://www.googleapis.com/auth/cloud-platform è elencato, l'autorizzazione è sufficiente.

Se https://www.googleapis.com/auth/cloud-platform non è nell'elenco, sono necessari due ambiti di accesso, uno da ciascuna delle seguenti coppie "logging" e "monitoring":
- https://www.googleapis.com/auth/logging.write oppure
  https://www.googleapis.com/auth/logging.admin
- https://www.googleapis.com/auth/monitoring.write oppure
  https://www.googleapis.com/auth/monitoring.admin

Per modificare gli ambiti di accesso:

Nella console Google Cloud, vai alla pagina Istanze VM:
Vai a Istanze VM

Se usi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
Se necessario, fai clic sull'elenco a discesa dei progetti Google Cloud e seleziona il nome del progetto.
Seleziona Istanze VM dal menu di navigazione, seleziona la scheda Istanze e scegli il nome della tua VM.
Arresta la VM facendo clic su Arresta.
Dopo l'arresto della VM, fai clic su Modifica.
Individua Ambiti di accesso nella sezione Identità e accesso API della pagina, quindi seleziona Imposta l'accesso per ogni API.
Per le voci API Stackdriver Logging e API Stackdriver Monitoring, seleziona Write Only (Solo scrittura).
Fai clic su Salva, quindi riavvia la VM facendo clic su Avvia/Riprendi.

Utilizzare un account di servizio

Il termine autenticazione fa riferimento al processo di determinazione dell'identità del client. Per l'autenticazione, consigliamo di utilizzare un account di servizio, un tipo speciale di account solitamente utilizzato da un'applicazione o da un carico di lavoro, anziché da una persona. Per maggiori informazioni, consulta Panoramica degli account di servizio.

Puoi utilizzare gli account di servizio per l'autenticazione indipendentemente da dove viene eseguito il codice: su Compute Engine, App Engine oppure on-premise. Per ulteriori informazioni, consulta la sezione Autenticazione su Google.

Questa sezione descrive come creare un nuovo account di servizio e assegnargli i ruoli necessari e come aggiornare un account di servizio esistente se non dispone dei ruoli necessari.

Crea un service account

Per creare un account di servizio, completa la procedura di creazione di un account di servizio con le seguenti informazioni:

Seleziona il progetto Google Cloud in cui creare l'account di servizio.
- Per le istanze di Compute Engine, scegli il progetto in cui hai creato l'istanza.
- Per le istanze Amazon EC2, seleziona il progetto di hosting AWS.
Nel menu a discesa Ruolo, seleziona i ruoli seguenti:
- Logging > Writer log. Ciò autorizza l'agente Logging a importare i log.
- Monitoring > Monitoring Metric Writer. Ciò autorizza l'agente Logging a importare le proprie metriche di integrità.
Se prevedi di eseguire l'autenticazione utilizzando una chiave dell'account di servizio, seleziona JSON come Tipo di chiave e fai clic su Crea.

Quando fai clic su Crea, un file contenente una chiave dell'account di servizio viene scaricato nel tuo sistema locale. Per ulteriori informazioni, consulta Creare ed eliminare le chiavi degli account di servizio.

Nota: dopo aver scaricato una chiave, non puoi scaricarla di nuovo.

Poi, configura l'account di servizio e le impostazioni a seconda che tu provveda all'autorizzazione mediante account di servizio collegati o chiavi private dell'account di servizio.

Verificare e modificare i ruoli di un account di servizio esistente

Puoi utilizzare la console Google Cloud per determinare i ruoli di un account di servizio esistente e per aggiungere eventuali ruoli necessari che mancano:

Nella console Google Cloud, vai alla pagina IAM:
Vai a IAM

Se usi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.
Se necessario, fai clic sull'elenco a discesa dei progetti Google Cloud e seleziona il nome del progetto.
Se non vedi un elenco di entità IAM (utenti e account di servizio), seleziona la scheda Autorizzazioni.
Nell'elenco View by Principals (Visualizza per entità), individua la voce relativa all'account di servizio. La colonna Ruolo elenca i ruoli concessi all'account di servizio.
Se il tuo account di servizio non dispone dei ruoli necessari per l'agente Logging , segui questi passaggi per aggiungere i ruoli descritti in Creare un account di servizio:
1. Fai clic su Modifica nella voce relativa all'account di servizio.
2. Fai clic su Aggiungi un altro ruolo per aggiungere eventuali ruoli mancanti.
3. Fai clic su Salva.

Autorizza con un account di servizio collegato

Per autorizzare l'agente Logging installato su un'istanza VM di Compute Engine a cui è collegato un account di servizio, segui questi passaggi:

Assicurati di aver verificato gli ambiti di accesso della tua VM.
Concedi al tuo account di servizio i ruoli IAM con meno privilegi possibili. Per i ruoli richiesti, consulta la sezione Creare un account di servizio di questa pagina.
Collega l'account di servizio alla VM su cui è in esecuzione l'agente.
Se non hai già installato l'agente, installalo. Per informazioni su come installare l'agente, consulta Installazione dell'agente.

Autorizza con una chiave dell'account di servizio

Per autorizzare l'agente Logging installato su un'istanza VM utilizzando le chiavi private dell'account di servizio, segui questi passaggi:

Trasferisci il file della chiave dell'account di servizio dal tuo sistema locale all'istanza VM:
1. Crea una variabile di ambiente per puntare al file della chiave dell'account di servizio sul tuo sistema locale. Nell'esempio seguente viene creata una variabile denominata CREDS:
```
CREDS=~/Downloads/PROJECT-NAME-KEY-ID.json
```
2. Completa i passaggi indicati nella seguente tabella:
  
  Nota: le seguenti istruzioni per la copia del file presuppongono che tu abbia un ambiente Linux sia sul sistema locale sia sulla tua istanza. Se utilizzi un ambiente diverso, consulta la documentazione del tuo cloud provider per informazioni su come copiare il file delle chiavi dell'account di servizio. Assicurati che il file della chiave dell'account di servizio si trovi nella stessa posizione della variabile CREDS.
  Compute Engine
  1. Nella console Google Cloud, vai alla pagina Istanze VM:
    Vai a Istanze VM
    
    Se usi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
    
    Identifica INSTANCE_NAME e INSTANCE_ZONE per la tua VM.
  2. Sul tuo sistema locale, esegui un comando Google Cloud CLI per copiare il file della chiave dal tuo sistema locale all'istanza VM:
    
    REMOTE_USER="$USER" INSTANCE="INSTANCE_NAME" ZONE="INSTANCE_ZONE" gcloud compute scp "$CREDS" "$REMOTE_USER@$INSTANCE:~/temp.json" --zone "$ZONE"
  3. Nell'istanza Compute Engine, sposta il file della chiave dell'account di servizio dalla posizione temporanea a una posizione permanente e, per Linux, assicurati che il file della chiave dell'account di servizio sia leggibile solo da root.
    
    Avviso: se hai già un file di chiavi per l'account di servizio, assicurati che il nuovo file della chiave non sovrascriva il file della chiave per le applicazioni attuali.
    
    Queste sono le località in cui l'agente attende il file della chiave:
    
    VM Linux: /etc/google/auth/application_default_credentials.json
    
    VM Windows: C:\ProgramData\Google\Auth\application_default_credentials.json
    
    VM Linux e Windows: qualsiasi posizione archiviata nella variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS, che deve essere visibile al processo dell'agente. Per informazioni sulla configurazione, vedi Impostare GOOGLE_APPLICATION_CREDENTIALS.
    
    Ad esempio, su Linux puoi eseguire lo script seguente che sposta il file della chiave dell'account di servizio nella posizione predefinita, quindi imposta le autorizzazioni appropriate:
    
    CREDENTIALS_FILE_LOCATION="/etc/google/auth/application_default_credentials.json" sudo mkdir -p /etc/google/auth sudo mv "$HOME/temp.json" "$CREDENTIALS_FILE_LOCATION" sudo chown root:root "$CREDENTIALS_FILE_LOCATION" sudo chmod 0400 "$CREDENTIALS_FILE_LOCATION"
  Amazon EC2
  1. Per la tua VM, identifica YOUR-INSTANCE'S-ID e YOUR-INSTANCE'S-AWS-REGION.
  2. Nel sistema locale, utilizza scp per copiare il file della chiave dell'account di servizio dal sistema locale all'istanza VM:
    
    KEY="YOUR-SSH-KEY-PAIR-FILE" INSTANCE="ec2-YOUR-INSTANCE'S-ID.YOUR-INSTANCE'S-AWS-REGION.compute.amazonaws.com" # The remote user depends on the installed OS: ec2-user, ubuntu, root, etc. REMOTE_USER="EC2-USER" scp -i "$KEY" "$CREDS" "$REMOTE_USER@$INSTANCE:~/temp.json"
    
    Il valore della variabile di ambiente INSTANCE presuppone che l'istanza EC2 non si trovi nella regione us-east-1. Per scoprire come definire la variabile INSTANCE quando l'istanza si trova nella regione us-east-1, consulta la convenzione di denominazione definita da Amazon.
  3. Nell'istanza EC2, sposta il file della chiave dell'account di servizio dalla posizione temporanea a una delle seguenti posizioni e, per Linux, assicurati che il file della chiave dell'account di servizio sia leggibile solo da root.
    
    Avviso: se hai già un file di chiavi per l'account di servizio, assicurati che il nuovo file della chiave non sovrascriva il file della chiave per le applicazioni attuali.
    
    Queste sono le località in cui l'agente attende il file della chiave:
    
    VM Linux: /etc/google/auth/application_default_credentials.json
    
    VM Windows: C:\ProgramData\Google\Auth\application_default_credentials.json
    
    VM Linux e Windows: qualsiasi posizione archiviata nella variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS, che deve essere visibile al processo dell'agente. Per informazioni sulla configurazione, vedi Impostare GOOGLE_APPLICATION_CREDENTIALS.
    
    Ad esempio, su Linux puoi eseguire lo script seguente che sposta il file della chiave dell'account di servizio nella posizione predefinita, quindi imposta le autorizzazioni appropriate:
    
    CREDENTIALS_FILE_LOCATION="/etc/google/auth/application_default_credentials.json" sudo mkdir -p /etc/google/auth sudo mv "$HOME/temp.json" "$CREDENTIALS_FILE_LOCATION" sudo chown root:root "$CREDENTIALS_FILE_LOCATION" sudo chmod 0400 "$CREDENTIALS_FILE_LOCATION"
L'istanza VM ora include il file delle chiavi dell'account di servizio di cui l'agente ha bisogno. Quindi, installa o riavvia l'agente:
- Per informazioni su come installare l'agente, consulta Installazione dell'agente.
- Per informazioni su come riavviare l'agente, consulta Riavvio dell'agente.
- Se vuoi controllare il file della chiave dell'account di servizio, consulta Verifica delle credenziali della chiave privata.

Imposta `GOOGLE_APPLICATION_CREDENTIALS`

Questa sezione mostra come impostare la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS in modo che sia visibile al processo dell'agente.

Linux

Modifica il seguente file di configurazione o crea il file se non esiste:
```
/etc/default/google-fluentd
```

Aggiungi quanto segue al file di configurazione:

GOOGLE_APPLICATION_CREDENTIALS=PATH_TO_CREDENTIAL_FILE

Riavvia l'agente eseguendo questo comando sull'istanza VM:
```
sudo service google-fluentd restart
```

Windows

In PowerShell, esegui questi comandi come amministratore per impostare la variabile di ambiente di sistema GOOGLE_APPLICATION_CREDENTIALS da utilizzare per Ops Agent:
```
[Environment]::SetEnvironmentVariable("GOOGLE_APPLICATION_CREDENTIALS", "PATH_TO_CREDENTIAL_FILE", "Machine")
```
Riavvia l'agente eseguendo questo comando sull'istanza VM:
```
Restart-Service -Name StackdriverLogging
```