Questa pagina descrive come utilizzare i service account per consentire alle app in esecuzione sulle istanze di macchine virtuali (VM) di autenticarsi alle API di Google Cloud e autorizzare l'accesso alle risorse.
Per utilizzare i service account per l'autenticazione, devi prima assicurarti che la VM sia configurata per utilizzare unaccount di serviziot. Per farlo, completa una delle seguenti procedure:
- Per configurare il account di servizio durante la creazione della VM, vedi Crea una VM che utilizza un service account gestito dall'utente.
- Per configurare un account di servizio su una VM esistente, vedi Modificare il service account collegato.
Prima di iniziare
- Consulta la panoramica degli account di servizio.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è
il processo mediante il quale la tua identità viene verificata per l'accesso ai Google Cloud servizi e alle API.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su
Compute Engine selezionando una delle seguenti opzioni:
Per utilizzare gli esempi di Python questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
-
Install the Google Cloud CLI.
-
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per ulteriori informazioni, vedi Set up authentication for a local development environment.
Panoramica
Dopo aver configurato un'istanza VM da eseguire utilizzando un account di servizio, un'applicazione in esecuzione sull'istanza VM può utilizzare uno dei seguenti metodi per l'autenticazione:
- Per la maggior parte delle applicazioni, scegli una delle seguenti opzioni:
- Per le applicazioni che richiedono un token di accesso OAuth2, richiedi e utilizza i token di accesso direttamente dal server di metadati.
Autenticazione delle applicazioni utilizzando le credenziali del account di servizio
Dopo aver configurato un'istanza da eseguire come account di servizio, puoi utilizzare le credenziali account di servizio per autenticare le applicazioni in esecuzione sull'istanza.
Autenticare le applicazioni con una libreria client
Le librerie client possono utilizzare le credenziali predefinite dell'applicazione per autenticarsi con le API di Google e inviare richieste a queste API. Credenziali predefinite dell'applicazione consentono alle applicazioni di ottenere automaticamente le credenziali da più origini, in modo da poter testare l'applicazione localmente e poi eseguirne il deployment in un'istanza Compute Engine senza modificare il codice dell'applicazione.
Per informazioni sulla configurazione Credenziali predefinite dell'applicazione, vedi Fornire le credenziali alle credenziali predefinite dell'applicazione.
Questo esempio utilizza la libreria client Python per autenticare ed effettuare una richiesta all'API Cloud Storage per elencare i bucket in un progetto. L'esempio utilizza la seguente procedura:
- Ottieni le credenziali di autenticazione necessarie per l'API Cloud Storage
e inizializza il servizio Cloud Storage con il metodo
build()
e le credenziali. - Elenca i bucket in Cloud Storage.
Puoi eseguire questo esempio su un'istanza che ha accesso alla gestione dei bucket in Cloud Storage.
Autenticazione delle applicazioni direttamente con i token di accesso
Per la maggior parte delle applicazioni, puoi autenticarti utilizzando le credenziali predefinite dell'applicazione, che trova le credenziali e gestisce i token per te. Tuttavia, se la tua applicazione richiede di fornire un token di accesso OAuth2, Compute Engine ti consente di ottenere un token di accesso dal suo server di metadati da utilizzare nella tua applicazione.
Esistono diverse opzioni per ottenere e utilizzare questi
token di accesso per autenticare le tue applicazioni. Ad esempio, puoi utilizzare
curl
per creare una richiesta semplice oppure un linguaggio di programmazione come Python
per una maggiore flessibilità.
cURL
Per utilizzare curl
per richiedere un token di accesso e inviare una richiesta a un'API:
Nell'istanza in cui viene eseguita l'applicazione, invia una query al server di metadati per un token di accesso eseguendo questo comando:
$ curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" \ -H "Metadata-Flavor: Google"
La richiesta restituisce una risposta simile a:
{ "access_token":"ya29.AHES6ZRN3-HlhAPya30GnW_bHSb_QtAS08i85nHq39HE3C2LTrCARA", "expires_in":3599, "token_type":"Bearer" }
Per le richieste API devi includere il valore
access_token
, non l'intera risposta. Se hai installato il processore JSON a riga di comando jq, puoi utilizzare il seguente comando per estrarre il valore del token di accesso dalla risposta:$ ACCESS_TOKEN=`curl \ "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" \ -H "Metadata-Flavor: Google" | jq -r '.access_token'`
Copia il valore della proprietà
access_token
dalla risposta e utilizzalo per inviare richieste all'API. Ad esempio, la seguente richiesta stampa un elenco di istanze nel tuo progetto da una determinata zona:$ curl https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances \ -H "Authorization":"Bearer ACCESS_TOKEN"
Sostituisci quanto segue:
PROJECT_ID
: l'ID progetto per questa richiesta.ZONE
: la zona da cui elencare le VM.ACCESS_TOKEN
: il valore del token di accesso che hai ottenuto nel passaggio precedente.
Per informazioni sui parametri che puoi impostare nella richiesta, consulta la documentazione relativa ai parametri di sistema.
Python
Questo esempio mostra come richiedere un token per accedere all'API Cloud Storage in un'applicazione Python. L'esempio utilizza la seguente procedura:
- Richiedi un token di accesso al server di metadati.
- Estrai il token di accesso dalla risposta del server.
- Utilizza il token di accesso per effettuare una richiesta a Cloud Storage.
- Se la richiesta ha esito positivo, lo script stampa la risposta.
I token di accesso scadono dopo un breve periodo di tempo. Il server dei metadati memorizza nella cache i token di accesso fino a quando non rimangono 5 minuti prima della scadenza. Se i token non possono essere memorizzati nella cache, le richieste che superano le 50 query al secondo potrebbero essere soggette a limitazioni di frequenza. Perché le chiamate API vadano a buon fine, le tue applicazioni devono avere un token di accesso valido.
Autenticazione degli strumenti su un'istanza utilizzando un account di servizio
Alcune applicazioni potrebbero utilizzare comandi di gcloud CLI, che è
inclusa per impostazione predefinita nella maggior parte delle immagini Compute Engine. gcloud CLI riconosce automaticamente il service account di un'istanza e le autorizzazioni pertinenti concesse al account di servizio. In particolare, se concedi
i ruoli corretti al account di servizio, puoi utilizzare la gcloud CLI
dalle tue istanze senza dover utilizzare gcloud auth login
.
Il riconoscimento di questo account di servizio avviene automaticamente e si applica solo alla gcloud CLI inclusa nell'istanza. Se crei nuovi strumenti o aggiungi strumenti personalizzati, devi autorizzare la tua applicazione utilizzando una libreria client o utilizzando token di accesso direttamente nella tua applicazione.
Per sfruttare il riconoscimento automatico del account di servizio,
concedi i ruoli IAM appropriati
al account di servizio e
collega il account di servizio all'istanza.
Ad esempio, se concedi a un account di servizio il ruolo roles/storage.objectAdmin
, l'gcloud CLI può gestire e accedere automaticamente agli oggetti Cloud Storage.
Allo stesso modo, se abiliti roles/compute.instanceAdmin.v1
per il account di servizio,
lo strumento gcloud compute
può gestire automaticamente le istanze.
Passaggi successivi
- Autentica i workload con altri workload tramite mTLS .
- Scopri di più sui service account.
- Scopri di più su ruoli e autorizzazioni IAM di Compute Engine.
- Scopri di più sulle best practice per l'utilizzo degli account di servizio.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni di Compute Engine in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti senza addebiti per l'esecuzione, il test e il deployment dei workload.
Fai una prova senza costi di Compute Engine