Autentica e configura l'accesso all'API all'interno di una workstation

Questo documento descrive come autenticare e configurare l'accesso API all'interno di una workstation. Per informazioni generali sull'autenticazione Google Cloud, consulta la panoramica dell'autenticazione.

Autenticazione come utente con Google Cloud CLI

Dopo aver avviato Cloud Workstations, potrai accedere ai servizi Google Cloud e all'API utilizzando i tuoi account utente tramite l'interfaccia a riga di comando gcloud.

1. Apri un terminale nella workstation. La modalità di apertura di una finestra del terminale dipende dall'IDE in uso. Ad esempio, se utilizzi l'editor di base di Cloud Workstations, apri un terminale selezionando Terminale > Nuovo terminale o premendo Ctrl+Shift+`.
2. Esegui l'autenticazione con il seguente comando:

   gcloud auth login --no-launch-browser

3. Segui le istruzioni fornite dal comando per eseguire l'autenticazione in Google Cloud.
4. Specifica il tuo ID progetto Google Cloud con il comando seguente:

   gcloud config set project PROJECT_ID

5. Abilita Credenziali predefinite dell'applicazione per poter chiamare i servizi Google Cloud.

   gcloud auth application-default login

6. Le credenziali dell'interfaccia a riga di comando gcloud ora sono salvate e disponibili quando utilizzi la workstation in sessioni future.

Invia una richiesta HTTP a una workstation

Per inviare una richiesta HTTP a una workstation, è necessario un token di accesso per un account con il ruolo Utente Cloud Workstations su quella workstation:

1. Genera un token di accesso utilizzando il metodo API generateAccessToken.
2. Aggiungi un'intestazione HTTP denominata Authorization con il valore Bearer $TOKEN.

Connettiti alla workstation nel browser

Quando apri l'URL della workstation nel browser, l'autenticazione viene eseguita automaticamente tramite un reindirizzamento al server delle workstation e viene recuperato un token di accesso generato dal metodo API generateAccessToken. Questa operazione reindirizza alla tua workstation e imposta un cookie di autenticazione valido per la sessione della workstation attuale.

Per saltare questo reindirizzamento, utilizza il parametro URL _workstationAccessToken:

1. Genera un token di accesso utilizzando il metodo API generateAccessToken.
2. Apri l'URL della workstation nel browser e aggiungi un parametro URL nel formato seguente: _workstationAccessToken=TOKEN.

Questa operazione imposta un cookie di autenticazione nel browser che consente l'accesso per la sessione della workstation attuale. Ignorare il reindirizzamento può essere utile quando l'accesso al server della workstation è bloccato dai criteri di rete o quando vengono utilizzati iframe per visualizzare la workstation in altri siti.

Rappresentare un account di servizio

Se i criteri di sicurezza della tua organizzazione impediscono agli account utente di avere le autorizzazioni necessarie, puoi anche rappresentare un account di servizio utilizzando la proprietà impersonate_service_account dell'interfaccia a riga di comando gcloud.

1. Per assicurarti che l'entità disponga dell'autorizzazione necessaria per impersonare un account di servizio, chiedi all'amministratore di concedere all'entità il ruolo IAM Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) per l'account di servizio. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

   Questo ruolo predefinito contiene l'autorizzazione iam.serviceAccounts.getAccessToken, necessaria per rappresentare un account di servizio.

   L'amministratore potrebbe anche essere in grado di concedere all'entità questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

2. Apri un terminale nella workstation o passa a un terminale già aperto.
3. Per impostare la proprietà impersonate_service_account, inserisci il seguente comando dell'interfaccia a riga di comando gcloud:

   gcloud config set auth/impersonate_service_account=SERVICE_ACCT_EMAIL

4. Le credenziali dell'interfaccia a riga di comando gcloud ora sono salvate e disponibili quando utilizzi la workstation in sessioni future.

Per maggiori informazioni, consulta Utilizzare l'impersonificazione degli account di servizio.

Passaggi successivi

• Scopri di più sul supporto SSH.
• Visualizza un elenco di parametri di configurazione della workstation.
• Controllo dell'accesso con Identity and Access Management e Cloud Workstations