Questa pagina è stata tradotta dall'API Cloud Translation.

Autorizzazione dell'agente operativo

Questa guida spiega come garantire che Ops Agent, che installi sull'istanza della macchina virtuale (VM), sia autorizzato a inviare dati di telemetria a Monitoring.

Panoramica delle autorizzazioni

Con autorizzazione si intende il processo di determinazione delle autorizzazioni di cui dispone un client autenticato per un insieme di risorse. Google Cloud autorizza Ops Agent su un'istanza VM di Compute Engine utilizzando le credenziali predefinite dell'applicazione (ADC).

Ops Agent supporta ADC che autentica l'account di servizio collegato di una VM o una chiave dell'account di servizio.

Un account di servizio collegato si riferisce a un account di servizio specifico per una determinata risorsa, ad esempio una VM. L'account di servizio ha le proprie credenziali univoche. ADC utilizza il server di metadati della VM per ottenere le credenziali per un servizio.
Una chiave dell'account di servizio è una chiave privata utilizzata per autorizzare la coppia di chiavi su un account di servizio in un progetto, che consente di creare un token di accesso. Puoi utilizzare il token per fornire un'identità in modo da poter interagire con le API Google Cloud per conto dell'account di servizio.

Ops Agent non supporta l'autorizzazione mediante l'uso di gcloud auth. Per evitare comportamenti indesiderati, devi revoke tutte le credenziali create utilizzando gcloud auth.

Ti consigliamo di configurare l'ADC in modo che autentichi un account di servizio collegato quando possibile, poiché la chiave privata richiede spazio di archiviazione locale e questo spazio di archiviazione potrebbe essere compromesso. Per ulteriori informazioni sulle chiavi degli account di servizio, consulta le best practice per la gestione delle chiavi degli account di servizio.

Verifica gli ambiti di accesso

Alle istanze VM di Compute Engine vengono assegnati ambiti di accesso quando le crei. Le nuove VM di Compute Engine hanno ambiti di accesso adeguati per l'Ops Agent, ma le VM precedenti o quelle in cui sono stati modificati gli ambiti potrebbero no. Per ulteriori informazioni sugli ambiti di accesso e sugli account di servizio, consulta Autorizzazione nella documentazione di Compute Engine.

Per verificare gli ambiti di accesso:

Esegui una query sugli ambiti di accesso eseguendo questo comando sulla tua istanza di Compute Engine:

curl --silent --connect-timeout 1 -f -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/scopes

Nell'output comando, se è elencato l'ambito di accesso https://www.googleapis.com/auth/cloud-platform, disponi di autorizzazione sufficiente.

Se https://www.googleapis.com/auth/cloud-platform non è presente nell'elenco, sono necessari due ambiti di accesso, uno per ciascuna delle seguenti coppie "logging" e "monitoraggio":
- https://www.googleapis.com/auth/logging.write oppure
  https://www.googleapis.com/auth/logging.admin
- https://www.googleapis.com/auth/monitoring.write oppure
  https://www.googleapis.com/auth/monitoring.admin

Per modificare gli ambiti di accesso:

Nella console Google Cloud, vai alla pagina Istanze VM:
Vai a Istanze VM

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato il cui sottotitolo è Compute Engine.
Se necessario, fai clic sull'elenco a discesa dei progetti Google Cloud e seleziona il nome del progetto.
Seleziona Istanze VM dal menu di navigazione, seleziona la scheda Istanze, quindi seleziona il nome della tua VM.
Arresta la VM facendo clic su Arresta.
Una volta arrestata la VM, fai clic su Modifica.
Individua Ambiti di accesso nella sezione Identità e accesso API della pagina e seleziona Imposta accesso per ogni API.
Per le voci API Stackdriver Logging e API Stackdriver Monitoring, seleziona Write Only.
Fai clic su Salva, quindi riavvia la VM facendo clic su Avvia/Riprendi.

Utilizza un account di servizio

Il termine autenticazione fa riferimento al processo di determinazione dell'identità del client. Per l'autenticazione, consigliamo di utilizzare un account di servizio, un tipo speciale di account utilizzato in genere da un'applicazione o da un carico di lavoro anziché da una persona. Per ulteriori informazioni, consulta la panoramica degli account di servizio.

Puoi utilizzare gli account di servizio per l'autenticazione indipendentemente da dove viene eseguito il codice: su Compute Engine, App Engine o on-premise. Per ulteriori informazioni, consulta la sezione Autenticazione a Google.

Questa sezione descrive come creare un nuovo account di servizio e concedergli i ruoli necessari e come aggiornare un account di servizio esistente se non dispone dei ruoli necessari.

Crea un account di servizio

Per creare un account di servizio, completa le procedure di creazione di un account di servizio con le seguenti informazioni:

Seleziona il progetto Google Cloud in cui creare l'account di servizio.
- Per le istanze di Compute Engine, scegli il progetto in cui hai creato l'istanza.
Nel menu a discesa Ruolo, seleziona i seguenti ruoli:
- Monitoring > Writer metriche di Monitoring.
- Logging > Writer log.
Se prevedi di eseguire l'autenticazione utilizzando una chiave dell'account di servizio, seleziona JSON come Tipo di chiave e fai clic su Crea.

Quando fai clic su Crea, nel tuo sistema locale viene scaricato un file contenente una chiave dell'account di servizio. Per maggiori informazioni, consulta Creare ed eliminare le chiavi degli account di servizio.

Nota: dopo aver scaricato una chiave, non puoi scaricarla di nuovo.

Quindi, configura l'account di servizio e le impostazioni a seconda che la tua autorizzazione venga concessa utilizzando account di servizio collegati o chiavi private degli account di servizio.

Verificare e modificare i ruoli di un account di servizio esistente

Puoi utilizzare la console Google Cloud per determinare i ruoli di un account di servizio esistente e per aggiungere eventuali ruoli necessari mancanti:

Nella console Google Cloud, vai alla pagina IAM:
Vai a IAM

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato il cui sottotitolo è IAM e amministrazione.
Se necessario, fai clic sull'elenco a discesa dei progetti Google Cloud e seleziona il nome del progetto.
Se non vedi un elenco di entità IAM (utenti e account di servizio), seleziona la scheda Autorizzazioni.
Nell'elenco Visualizza per entità, individua la voce per l'account di servizio. Nella colonna Ruolo sono elencati i ruoli concessi all'account di servizio.
Se il tuo account di servizio non dispone dei ruoli necessari per l'Ops Agent, segui questi passaggi per aggiungere i ruoli descritti in Creare un account di servizio:
1. Fai clic su Modifica nella voce dell'account di servizio.
2. Fai clic su Aggiungi un altro ruolo per aggiungere i ruoli mancanti.
3. Fai clic su Salva.

Autorizza con un account di servizio collegato

Per autorizzare Ops Agent installato su un'istanza VM di Compute Engine a cui è collegato un account di servizio, segui questi passaggi:

Assicurati di aver verificato gli ambiti di accesso della tua VM.
Concedi al tuo account di servizio i ruoli IAM con privilegi minimi possibili. Per i ruoli richiesti, consulta la sezione Creare un account di servizio di questa pagina.
Collega l'account di servizio alla VM su cui è in esecuzione l'agente.
Se non hai già installato l'agente, installalo. Per informazioni su come installare l'agente, consulta Installazione dell'agente.

Autorizza con una chiave dell'account di servizio

Per autorizzare Ops Agent installato su un'istanza VM utilizzando le chiavi private dell'account di servizio, segui questi passaggi:

Trasferisci il file della chiave dell'account di servizio dal tuo sistema locale all'istanza VM:
1. Crea una variabile di ambiente che punti al file delle chiavi dell'account di servizio sul tuo sistema locale. Nell'esempio seguente viene creata una variabile denominata CREDS:
```
CREDS=~/Downloads/PROJECT-NAME-KEY-ID.json
```
2. Completa i passaggi mostrati nella seguente tabella:
  
  Nota: le seguenti istruzioni per la copia di file presuppongono che tu abbia un ambiente Linux sia sul sistema locale sia sull'istanza. Se utilizzi un ambiente diverso, consulta la documentazione del tuo cloud provider per informazioni su come copiare il file delle chiavi dell'account di servizio. Assicurati che il file delle chiavi dell'account di servizio si trovi nella stessa posizione della variabile CREDS.
  Compute Engine
  1. Nella console Google Cloud, vai alla pagina Istanze VM:
    Vai a Istanze VM
    
    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato il cui sottotitolo è Compute Engine.
    
    Identifica INSTANCE_NAME e INSTANCE_ZONE per la tua VM.
  2. Nel tuo sistema locale, esegui un comando Google Cloud CLI per copiare il file della chiave dal tuo sistema locale all'istanza VM:
    
    REMOTE_USER="$USER" INSTANCE="INSTANCE_NAME" ZONE="INSTANCE_ZONE" gcloud compute scp "$CREDS" "$REMOTE_USER@$INSTANCE:~/temp.json" --zone "$ZONE"
  3. Nell'istanza di Compute Engine, sposta il file della chiave dell'account di servizio dalla posizione temporanea a una posizione permanente e, per Linux, assicurati che il file della chiave dell'account di servizio sia leggibile solo da root.
    
    Inoltre, devi impostare la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS in modo che punti alla posizione del file delle chiavi dell'account di servizio. Inoltre, la variabile deve essere visibile al processo dell'agente. Per informazioni sulla configurazione, consulta Impostare GOOGLE_APPLICATION_CREDENTIALS.
    
    Avviso: se disponi già di un file di chiavi dell'account di servizio, assicurati che il nuovo file della chiave non sovrascriva il file della chiave per le applicazioni correnti.
    
    Ad esempio, su Linux puoi eseguire lo script seguente, che sposta il file della chiave dell'account di servizio nella posizione predefinita, quindi imposta le autorizzazioni appropriate:
    
    CREDENTIALS_FILE_LOCATION="/etc/google/auth/application_default_credentials.json" sudo mkdir -p /etc/google/auth sudo mv "$HOME/temp.json" "$CREDENTIALS_FILE_LOCATION" sudo chown root:root "$CREDENTIALS_FILE_LOCATION" sudo chmod 0400 "$CREDENTIALS_FILE_LOCATION"
L'istanza VM ha ora il file delle chiavi dell'account di servizio necessario all'agente. Quindi, installa o riavvia l'agente:
- Per informazioni su come installare l'agente, consulta Installazione dell'agente.
- Per informazioni su come riavviare l'agente, consulta Riavvio dell'agente.
- Se vuoi controllare attentamente il file della chiave dell'account di servizio, consulta Verifica delle credenziali della chiave privata.

Imposta `GOOGLE_APPLICATION_CREDENTIALS`

Questa sezione mostra come impostare la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS in modo che sia visibile al processo dell'agente.

Linux

Modifica il seguente file di configurazione o crea il file se non esiste:
```
/etc/systemd/system.conf
```

Aggiungi quanto segue al file di configurazione:

DefaultEnvironment="GOOGLE_APPLICATION_CREDENTIALS=PATH_TO_CREDENTIAL_FILE"

Ricarica le variabili di ambiente:
```
sudo systemctl daemon-reload
```
Riavvia l'agente eseguendo questo comando sull'istanza VM:
```
sudo systemctl restart google-cloud-ops-agent
```

Windows

In PowerShell, esegui questi comandi come amministratore per impostare la variabile di ambiente di sistema GOOGLE_APPLICATION_CREDENTIALS che deve essere utilizzata da Ops Agent:
```
[Environment]::SetEnvironmentVariable("GOOGLE_APPLICATION_CREDENTIALS", "PATH_TO_CREDENTIAL_FILE", "Machine")
```
Riavvia l'agente eseguendo questo comando sull'istanza VM:
```
Restart-Service -Name google-cloud-ops-agent -Force
```