Autentica e configura l'accesso all'API all'interno di una workstation

Questo documento descrive come autenticare e configurare l'accesso API all'interno di un la workstation. Per informazioni generali sull'autenticazione di Google Cloud, consulta panoramica dell'autenticazione.

Eseguire l'autenticazione come utente con Google Cloud CLI

Dopo aver avviato Cloud Workstations, puoi accedere ai servizi Google Cloud e all'API utilizzando i tuoi account utente tramite l'interfaccia a riga di comando gcloud.

  1. Apri un terminale sulla workstation. Il modo in cui apri una finestra del terminale dipende dall'IDE in uso. Ad esempio, se utilizzi l'editor di base di Cloud Workstations, apri un terminale selezionando Terminale > Nuovo terminale oppure premendo Ctrl+Shift+`.
  2. Esegui l'autenticazione con il seguente comando: 
    gcloud auth login --no-launch-browser
  3. Segui le istruzioni fornite dal comando per autenticarti in Google Cloud.
  4. Specifica l'ID progetto Google Cloud con il seguente comando: 
    gcloud config set project PROJECT_ID
  5. Attiva le credenziali predefinite dell'applicazione per poter chiamare i servizi Google Cloud. 
    gcloud auth application-default login
  6. Le tue credenziali dell'interfaccia a riga di comando di gcloud vengono salvate e sono disponibili quando utilizzi la workstation sessioni future.

Invia una richiesta HTTP a una workstation

Per emettere una richiesta HTTP a una workstation, devi disporre di un token di accesso per un account che abbia il ruolo Utente delle workstation cloud sulla workstation:

  1. Genera un token di accesso utilizzando il metodo dell'API generateAccessToken.
  2. Aggiungi un'intestazione HTTP denominata Authorization con il valore Bearer $TOKEN.

Connettiti alla workstation nel browser

L'apertura dell'URL della workstation nel browser esegue automaticamente l'autenticazione attraverso un reindirizzamento al server delle workstation e recupera un accesso generato dal token generateAccessToken API. Questa operazione reindirizza alla tua workstation e imposta una di autenticazione valido per la sessione di workstation corrente.

Per saltare questo reindirizzamento, utilizza l'URL _workstationAccessToken :

  1. Genera un token di accesso utilizzando generateAccessToken API.
  2. Apri l'URL della workstation nel browser e aggiungi un parametro URL con il seguente formato: _workstationAccessToken=TOKEN.

Questa operazione imposta un cookie di autenticazione nel browser che consente l'accesso a la sessione di workstation corrente. Saltare il reindirizzamento può essere utile quando l'accesso al server della workstation è bloccato dai criteri di rete o quando utilizzi gli iframe per visualizzare la workstation in altri siti.

Rappresentare un account di servizio

Se i criteri di sicurezza della tua organizzazione impediscono agli account utente di avere autorizzazioni, ma puoi anche impersonare un account di servizio. Per simulare l'identità dell'account di servizio specificato nella configurazione della workstation, puoi specificare il campo Esitensioni account di servizio. Se specificato, gli utenti delle stazioni di lavoro in questa configurazione devono disporre dell'autorizzazione iam.serviceAccounts.actAs per l'account di servizio. Per saperne di più su come specificare gli ambiti per l'account di servizio, consulta Ambiti di accesso.

Puoi anche rubare l'identità di un altro account di servizio utilizzando la proprietà gcloud CLI impersonate_service_account.

  1. Per assicurarti che il principale disponga dell'autorizzazione necessaria per rubare l'identità di un account di servizio, chiedi all'amministratore di concedere al principale il ruolo IAM Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) nell'account di servizio. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

    Questo ruolo predefinito contiene iam.serviceAccounts.getAccessToken autorizzazione, che è obbligatorio si tratta di un account di servizio.

    L'amministratore potrebbe anche assegnare all'entità principale questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

  2. Apri un terminale nella tua workstation o vai a uno già aperto.
  3. Per impostare la proprietà impersonate_service_account, inserisci il seguente comando dell'interfaccia a riga di comando gcloud: 
    gcloud config set auth/impersonate_service_account=SERVICE_ACCT_EMAIL
  4. Le tue credenziali dell'interfaccia a riga di comando di gcloud vengono salvate e sono disponibili quando utilizzi la workstation sessioni future.

    5. Per ulteriori informazioni, consulta Utilizzare l'impersonificazione degli account di servizio.

Passaggi successivi