Autenticazione in Secure Web Proxy

Questo documento descrive come eseguire l'autenticazione a Secure Web Proxy in modo programmatico.

Per ulteriori informazioni sull'autenticazione Google Cloud, consulta la panoramica dell'autenticazione.

Accesso API

Secure Web Proxy supporta l'accesso programmatico. La modalità di autenticazione a Secure Web Proxy dipende da come accedi all'API. Puoi accedere all'API nei seguenti modi:

REST

Puoi eseguire l'autenticazione nell'API Secure Web Proxy utilizzando le credenziali dell'interfaccia a riga della gcloud CLI o le credenziali predefinite dell'applicazione. Per maggiori informazioni sull'autenticazione per le richieste REST, consulta Autenticazione per utilizzo REST. Per informazioni sui tipi di credenziali, consulta Credenziali dell'interfaccia a riga di comando di gcloud e credenziali ADC.

Configura l'autenticazione per Secure Web Proxy

La modalità di configurazione dell'autenticazione dipende dall'ambiente in cui viene eseguito il codice.

Le seguenti opzioni per la configurazione dell'autenticazione sono quelle più comunemente utilizzate. Per ulteriori opzioni e informazioni sull'autenticazione, consulta la pagina relativa all'autenticazione su Google.

Per un ambiente di sviluppo locale

Puoi configurare le credenziali per un ambiente di sviluppo locale nei seguenti modi:

Librerie client o strumenti di terze parti

Configura le Credenziali predefinite dell'applicazione (ADC) nel tuo ambiente locale:

  1. Installa Google Cloud CLI, quindi initialize eseguendo questo comando:

    gcloud init
  2. Crea credenziali di autenticazione locali per il tuo Account Google:

    gcloud auth application-default login

    Viene visualizzata una schermata di accesso. Dopo aver eseguito l'accesso, le credenziali vengono archiviate nel file delle credenziali locale utilizzato da ADC.

Per maggiori informazioni sull'utilizzo di ADC in un ambiente locale, consulta Ambiente di sviluppo locale.

Richieste REST dalla riga di comando

Quando effettui una richiesta REST dalla riga di comando, puoi utilizzare le credenziali gcloud CLI includendo gcloud auth print-access-token nel comando che invia la richiesta.

L'esempio seguente elenca gli account di servizio per il progetto specificato. Puoi utilizzare lo stesso pattern per qualsiasi richiesta REST.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: l'ID del tuo progetto Google Cloud.

Per inviare la richiesta, espandi una di queste opzioni:

 

Per maggiori informazioni sull'autenticazione mediante REST e gRPC, consulta Eseguire l'autenticazione mediante REST. Per informazioni sulla differenza tra le credenziali ADC locali e le credenziali di gcloud CLI, consulta Credenziali dell'interfaccia a riga di comando di gcloud e credenziali ADC.

Su Google Cloud

Per autenticare un carico di lavoro in esecuzione su Google Cloud, devi utilizzare le credenziali dell'account di servizio collegato alla risorsa di computing su cui è in esecuzione il codice. Ad esempio, puoi collegare un account di servizio a un'istanza di macchina virtuale (VM) Compute Engine, a un servizio Cloud Run o a un job Dataflow. Questo approccio è il metodo di autenticazione preferito per il codice in esecuzione su una risorsa di computing Google Cloud.

Per la maggior parte dei servizi, devi collegare l'account di servizio quando crei la risorsa che eseguirà il codice. Non puoi aggiungere o sostituire l'account di servizio in un secondo momento. Compute Engine è un'eccezione: consente di collegare un account di servizio a un'istanza VM in qualsiasi momento.

Utilizza gcloud CLI per creare un account di servizio e collegarlo alla tua risorsa:

  1. Installa Google Cloud CLI, quindi initialize eseguendo questo comando:

    gcloud init
  2. Configura l'autenticazione:

    1. Crea l'account di servizio:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Sostituisci SERVICE_ACCOUNT_NAME con un nome per l'account di servizio.

    2. Per fornire l'accesso al tuo progetto e alle tue risorse, concedi un ruolo all'account di servizio:

      gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE

      Sostituisci quanto segue:

      • SERVICE_ACCOUNT_NAME: il nome dell'account di servizio.
      • PROJECT_ID: l'ID progetto in cui hai creato l'account di servizio
      • ROLE: il ruolo da concedere
    3. Per concedere un altro ruolo all'account di servizio, esegui il comando come nel passaggio precedente.
    4. Concedi al tuo Account Google un ruolo che ti consenta di utilizzare i ruoli dell'account di servizio e collegarlo ad altre risorse:

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser

      Sostituisci quanto segue:

      • SERVICE_ACCOUNT_NAME: il nome dell'account di servizio.
      • PROJECT_ID: l'ID progetto in cui hai creato l'account di servizio
      • USER_EMAIL: l'indirizzo email del tuo Account Google
  3. Crea la risorsa che eseguirà il codice e collega l'account di servizio a tale risorsa. Ad esempio, se utilizzi Compute Engine:

    Crea un'istanza Compute Engine. Configura l'istanza come segue:
    • Sostituisci INSTANCE_NAME con il nome istanza che preferisci.
    • Imposta il flag --zone sulla zona in cui vuoi creare l'istanza.
    • Imposta il flag --service-account sull'indirizzo email dell'account di servizio che hai creato.
    gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL

Per ulteriori informazioni sull'autenticazione nelle API di Google, consulta la pagina relativa all'autenticazione su Google.

On-premise o su un cloud provider diverso

Il metodo preferito per configurare l'autenticazione dall'esterno di Google Cloud è utilizzare la federazione delle identità per i carichi di lavoro. Per maggiori informazioni, consulta On-premise o un altro cloud provider nella documentazione relativa all'autenticazione.

Controllo dell'accesso in Secure Web Proxy

Dopo l'autenticazione in Secure Web Proxy, devi disporre dell'autorizzazione per accedere alle risorse Google Cloud. Secure Web Proxy utilizza Identity and Access Management (IAM) per l'autorizzazione.

Per maggiori informazioni sui ruoli per Secure Web Proxy, consulta Controllo dell'accesso con IAM. Per maggiori informazioni su IAM e autorizzazione, consulta la panoramica di IAM.

Passaggi successivi