Questa pagina è stata tradotta dall'API Cloud Translation.

Richiama un endpoint privato on-prem, Compute Engine, GKE o altro attivando IAP

Puoi invocare un endpoint on-premise privato, Compute Engine, Google Kubernetes Engine (GKE) o un altro endpoint Google Cloud da Workflows attivando Identity-Aware Proxy (IAP) per l'endpoint. IAP viene utilizzato per applicare i criteri di controllo dell'accesso dell'accesso e consente di stabilire un livello di autorizzazione centrale per le applicazioni accessibili tramite HTTPS, in modo da poter utilizzare un modello di controllo dell'accesso dell'accesso a livello di applicazione anziché fare affidamento su firewall a livello di rete. Per ulteriori informazioni, consulta la panoramica di IAP e quanto segue:

In alternativa, puoi scegliere come target un endpoint privato per le chiamate HTTP dall'esecuzione del flusso di lavoro utilizzando il registry dei servizi di Service Directory con Workflows. Creando un endpoint privato all'interno di una rete Virtual Private Cloud (VPC), l'endpoint può essere conforme a Controlli di servizio VPC. Per ulteriori informazioni, consulta Eseguire l'invocazione di un endpoint privato conforme a VPC Service Controls.

Fai una richiesta HTTP

La chiamata o l'invocazione di un endpoint privato da Workflows avviene tramite una richiesta HTTP. I metodi di richiesta HTTP più comuni hanno una scorciatoia per le chiamate (ad esempio http.get e http.post), ma puoi effettuare qualsiasi tipo di richiesta HTTP impostando il campo call su http.request e specificando il tipo di richiesta utilizzando il campo method. Per maggiori informazioni, consulta Eseguire una richiesta HTTP.

Utilizza un account di servizio con le autorizzazioni richieste

Quando effettui richieste ad altri servizi Google Cloud, il tuo workflow deve essere associato a un account di servizio a cui sono stati concessi uno o più ruoli Identity and Access Management (IAM) contenenti le autorizzazioni necessarie per accedere alle risorse richieste. Per sapere quale account di servizio è associato a un flusso di lavoro esistente, consulta Verificare l'account di servizio associato a un flusso di lavoro.

Quando configuri un account di servizio, associ l'identità richiedente alla risorsa a cui vuoi concederle l'accesso, ovvero la rendi un principale o un utente della risorsa, quindi le assegni il ruolo appropriato. Il ruolo definisce le autorizzazioni di cui dispone l'identità nel contesto della risorsa. Quando un'applicazione o una risorsa è protetta da IAP, solo le entità con il ruolo corretto possono accedervi tramite il proxy.

Ad esempio, dopo l'autenticazione, IAP applica il criterio di autorizzazione pertinente per verificare se l'entità è autorizzata ad accedere alla risorsa richiesta. Se l'entità dispone del ruolo Utente di app web protetta da IAP (roles/iap.httpsResourceAccessor) nel progetto della console Google Cloud in cui esiste la risorsa, è autorizzata ad accedere all'applicazione.

Puoi configurare l'accesso alla risorsa protetta da IAP tramite la pagina IAP aggiungendo l'account di servizio Workflows come entità. Per ulteriori informazioni, consulta Gestire l'accesso alle risorse protette da IAP.

Aggiungere informazioni di autenticazione al flusso di lavoro

Per impostazione predefinita, le richieste HTTP non contengono token di identità o di accesso per motivi di sicurezza. Devi aggiungere esplicitamente le informazioni di autenticazione alla definizione del flusso di lavoro. Quando effettui richieste a un endpoint privato, utilizza OIDC per autenticarti tramite IAP.

Per effettuare una richiesta HTTP utilizzando OIDC, aggiungi una sezione auth alla sezione args della definizione del flusso di lavoro, dopo aver specificato l'URL.

YAML

  - step_A:
      call: http.get
      args:
          url: https://www.example.com/endpoint
          body:
              someValue: "Hello World"
              anotherValue: 123
          auth:
              type: OIDC
              audience: OIDC_AUDIENCE

JSON

    [
      {
        "step_A": {
          "call": "http.get",
          "args": {
            "url": "https://www.example.com/endpoint",
            "body": {
              "someValue": "Hello World",
              "anotherValue": 123
            },
            "auth": {
              "type": "OIDC",
              "audience": "OIDC_AUDIENCE"
            }
          }
        }
      }
    ]

Puoi utilizzare il parametro audience per specificare il segmento di pubblico OIDC per il token. Quando richiami un endpoint abilitato per gli acquisti IAP, devi specificare l'ID client OAuth 2.0 che hai configurato per la tua applicazione. Puoi recuperarla dalla pagina Credenziali.