Modificare l'account di servizio collegato


Questo documento spiega come configurare una macchina virtuale (VM) esistente per utilizzare un account di servizio diverso. Un account di servizio è un particolare tipo di account utilizzato in genere da un'applicazione o da un carico di lavoro di calcolo per effettuare chiamate API autorizzate.

Gli account di servizio sono necessari per gli scenari in cui un carico di lavoro, ad esempio un'applicazione personalizzata, deve accedere alle risorse Google Cloud o eseguire azioni senza il coinvolgimento dell'utente finale. Per ulteriori informazioni su quando utilizzare gli account di servizio, consulta Best practice per l'utilizzo degli account di servizio.

Se hai applicazioni che devono effettuare chiamate alle API Google Cloud, Google consiglia di collegare un account di servizio gestito dall'utente alla VM su cui è in esecuzione l'applicazione o il carico di lavoro. Poi, concedi all'account di servizio i ruoli IAM, che concedono all'account di servizio e, per estensione, alle applicazioni in esecuzione sulla VM l'accesso alle risorse Google Cloud.

Prima di iniziare

  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare gli account di servizio sulla VM, chiedi all'amministratore di concederti il ruolo IAM Amministratore istanze Compute (v1) (roles/compute.instanceAdmin.v1) sulla VM o sul progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per configurare gli account di servizio sulla VM. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per configurare gli account di servizio sulla VM sono necessarie le seguenti autorizzazioni:

  • compute.instances.setServiceAccount
  • compute.instances.stop
  • compute.instances.start

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Panoramica

Ti consigliamo di configurare gli account di servizio per le tue VM come segue:

  1. Crea un nuovo account di servizio gestito dall'utente anziché utilizzare quello predefinito di Compute Engine e concedi a questo account di servizio i ruoli IAM solo per le risorse e le operazioni di cui ha bisogno.
  2. Collega l'account di servizio alla VM.
  3. Imposta l'ambito della piattaforma cloud (https://www.googleapis.com/auth/cloud-platform) sulla VM. In questo modo, l'account di servizio della VM può chiamare le API Google Cloud di cui ha l'autorizzazione di utilizzo.
    • Se specifichi l'account di servizio utilizzando la console Google Cloud, l'ambito di accesso della VM viene impostato automaticamente sull'ambito cloud-platform.
    • Se specifichi l'account di servizio utilizzando Google Cloud CLI o l'API Compute Engine, puoi utilizzare il parametro scopes per impostare l'ambito di accesso.

Configura l'account di servizio

Puoi creare un account di servizio gestito dall'utente o utilizzare l'account di servizio predefinito di Compute Engine. È consigliato un account di servizio gestito dall'utente.

Per l'account di servizio selezionato, assicurati che siano assegnati i ruoli IAM (Identity and Access Management) richiesti.

Gestita dall'utente

Se non hai già un account di servizio gestito dall'utente, crea un account di servizio. Per istruzioni dettagliate, vedi Configurare un account di servizio.

Predefinito

Se conosci l'account di servizio predefinito di Compute Engine e vuoi utilizzare le credenziali fornite dall'account di servizio predefinito anziché creare nuovi account di servizio, puoi concedere i ruoli IAM all'account di servizio predefinito.

Prima di assegnare i ruoli IAM all'account di servizio predefinito, tieni presente che:

  • L'assegnazione di un ruolo IAM all'account di servizio predefinito influisce su tutte le VM in esecuzione come account di servizio predefinito. Ad esempio, se concedi all'account di servizio predefinito il ruolo roles/storage.objectAdmin, tutte le VM in esecuzione come account di servizio predefinito con gli ambiti di accesso richiesti avranno le autorizzazioni concesse dal ruolo roles/storage.objectAdmin. Analogamente, se limiti l'accesso omettendo determinati ruoli, questo influisce su tutte le VM in esecuzione come account di servizio predefinito.

  • A seconda della configurazione dei criteri dell'organizzazione, all'account di servizio predefinito potrebbe essere assegnato automaticamente il ruolo Editor nel progetto. Ti consigliamo vivamente di disattivare la concessione automatica dei ruoli applicando il vincolo iam.automaticIamGrantsForDefaultServiceAccounts delle norme dell'organizzazione. Se hai creato la tua organizzazione dopo il 3 maggio 2024, questo vincolo viene applicato per impostazione predefinita.

    Se disattivi la concessione automatica dei ruoli, devi decidere quali ruoli concedere agli account di servizio predefiniti, quindi concedere personalmente questi ruoli.

    Se l'account di servizio predefinito ha già il ruolo Editor, ti consigliamo di sostituire il ruolo Editor con ruoli meno permissivi. Per modificare in sicurezza i ruoli dell'account di servizio, utilizza Policy Simulator per vedere l'impatto della modifica, quindi concedi e revoca i ruoli appropriati.

Se hai dubbi sulla concessione dei ruoli IAM all'account di servizio predefinito, crea un nuovo account di servizio gestito dall'utente.

Collega l'account di servizio e aggiorna l'ambito di accesso

Per modificare l'account di servizio e gli ambiti di accesso di una VM, la VM deve essere arrestata temporaneamente.

Se l'account di servizio si trova in un progetto diverso dalla VM, devi configurare l'account di servizio per una risorsa in un altro progetto.

Utilizza uno dei seguenti metodi per modificare l'account di servizio e gli ambiti di accesso nella VM.

Console

  1. Vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul nome dell'istanza VM per cui vuoi modificare l'account di servizio.

  3. Se la VM non è arrestata, fai clic su Arresta. Attendi l'interruzione della VM.

  4. Fai clic su Modifica.

  5. Scorri verso il basso fino alla sezione Account di servizio.

  6. Nell'elenco a discesa, seleziona l'account di servizio da assegnare alla VM.

    • Se scegli un account di servizio gestito dall'utente, l'ambito di accesso della VM è impostato per impostazione predefinita sull'ambito cloud-platform consigliato. Se hai bisogno di un ambito diverso per il tuo account di servizio gestito dall'utente, utilizza l'interfaccia a riga di comando gcloud o l'API Compute Engine per collegare l'account di servizio.
    • Se scegli l'account di servizio predefinito di Compute Engine, puoi modificarne gli ambiti di accesso nella console Google Cloud.
      • Per modificare gli ambiti, nella sezione Ambiti di accesso, seleziona Imposta accesso per ogni API e imposta gli ambiti appropriati per le tue esigenze.
      • Consigliato Se hai dubbi sugli ambiti di accesso appropriati da impostare, scegli Consenti l'accesso completo a tutte le API Cloud e poi assicurati di limitare l'accesso impostando i ruoli IAM sull'account di servizio.
  7. Fai clic su Salva per salvare le modifiche.

  8. Fai clic su Avvia/Riprendi per riavviare la VM.

gcloud

  1. Interrompi la VM utilizzando il comando instances stop. Sostituisci VM_NAME con il nome dell'istanza VM.

    gcloud compute instances stop VM_NAME
    
  2. Collega l'account di servizio. Per collegare l'account di servizio, utilizza il comando instances set-service-account e fornisci il nome della VM, l'email dell'account di servizio e gli scopi preferiti. Per ulteriori informazioni sull'impostazione degli ambiti di accesso, consulta Best practice.

    gcloud compute instances set-service-account VM_NAME \
      --service-account=SERVICE_ACCOUNT_EMAIL \
      --scopes=SCOPES
    

    Sostituisci quanto segue:

    • SERVICE_ACCOUNT_EMAIL: l'indirizzo email dell'account di servizio che hai creato. Ad esempio: my-sa-123@my-project-123.iam.gserviceaccount.com. Per visualizzare l'indirizzo email, consulta Account di servizio della scheda.

      Se vuoi rimuovere l'account di servizio dalla VM, utilizza il flag --no-service-account.

    • VM_NAME: il nome dell'istanza VM.

    • SCOPES: un elenco separato da virgole di URI o alias di ambito fornito nella descrizione del flag --scopes.

      Se vuoi rimuovere tutti gli ambiti per la VM, utilizza invece il flag --no-scopes.

    Ad esempio, il seguente comando assegna l'account di serviziomy-sa-123@my-project-123.iam.gserviceaccount.com a una VM denominata example-instance e imposta gli ambiti di accesso su quella VM per consentire l'accesso in lettura/scrittura a Compute Engine e l'accesso in sola lettura a Cloud Storage:

    gcloud compute instances set-service-account example-instance \
      --service-account=my-sa-123@my-project-123.iam.gserviceaccount.com \
      --scopes=compute-rw,storage-ro
    
  3. Avvia la VM utilizzando il comando instances start. Sostituisci VM_NAME con il nome dell'istanza VM.

    gcloud compute instances start VM_NAME
    

REST

  1. Arresta la VM inviando una richiesta POST utilizzando il metodo instances.stop:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
    

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto in cui si trova la VM
    • ZONE: la zona in cui si trova la VM
    • VM_NAME: il nome della VM che vuoi arrestare
  2. Collega l'account di servizio inviando una richiesta POST al metodo setServiceAccount:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/setServiceAccount
    
    {
      "email": "SERVICE_ACCOUNT_EMAIL",
      "scopes": [
        "SCOPE_URI",
        "SCOPE_URI",
        ...
      ]
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto per questa richiesta.
    • ZONE: la zona a cui appartiene questa VM.
    • VM_NAME: il nome della VM.
    • SERVICE_ACCOUNT_EMAIL: l'indirizzo email dell'account di servizio che hai creato. Ad esempio: my-sa-123@my-project-123.iam.gserviceaccount.com. Per visualizzare l'indirizzo email, consulta Account di servizio della scheda.
    • SCOPE_URI: l'URI ambito obbligatorio.

    Ad esempio, la seguente richiesta utilizza l'indirizzo email dell'account di servizio my-sa-123@my-project-123.iam.gserviceaccount.com e imposta un ambito Cloud Storage e BigQuery:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/setServiceAccount
    
    {
      "email": "my-sa-123@my-project-123.iam.gserviceaccount.com",
      "scopes": [
        "https://www.googleapis.com/auth/bigquery",
        "https://www.googleapis.com/auth/devstorage.read_only"
      ]
    }
    
  3. Avvia la VM creando una richiesta POST utilizzando il metodo instances.start:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
    

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto in cui si trova la VM
    • ZONE: la zona in cui si trova la VM
    • VM_NAME: il nome della VM che vuoi avviare

Visualizzare l'account di servizio utilizzato da una VM

Per visualizzare tutti gli account di servizio in un progetto, consulta Elenco degli account di servizio.

Se devi identificare l'account di servizio utilizzato da una VM, completa una delle seguenti procedure:

console

  1. Vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul nome dell'istanza VM per cui vuoi modificare l'account di servizio.

  3. Vai alla sezione Gestione di API e identità. Questa sezione mostra l'account di servizio e l'ambito di accesso utilizzati dalla VM.

gcloud

Esegui il comando gcloud compute instances describe:

gcloud compute instances describe VM_NAME \
    --format json

L'output è simile al seguente:

{
  ...
  "serviceAccounts":[
      {
        "email":"123845678986-compute@developer.gserviceaccount.com",
        "scopes":[
            "https://www.googleapis.com/auth/devstorage.full_control"
        ]
      }
  ]
  ...
   }

Se la VM non utilizza un account di servizio, riceverai una risposta senza la proprietà serviceAccounts.

Server metadati

Esegui query sul server di metadati dalla VM stessa. Invia una richiesta a http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/:

user@myinst:~$ curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/" \
-H "Metadata-Flavor: Google"

Se hai attivato uno o più account di servizio durante la creazione dell'istanza, questo comando curl restituisce un output simile al seguente:

123845678986-compute@developer.gserviceaccount.com/
default/

Se l'istanza non utilizza un account di servizio, riceverai una risposta vuota.

Best practice

  • Limita i privilegi degli account di servizio e controlla regolarmente le autorizzazioni degli account di servizio per assicurarti che siano aggiornate.
  • Elimina gli account di servizio con cautela. Prima di eliminare un account di servizio, assicurati che le tue applicazioni critiche non lo stiano più utilizzando. Se non sai con certezza se viene utilizzato un account di servizio, ti consigliamo di disattivarlo anziché eliminarlo. I service account disabilitati possono essere riattivati se sono ancora necessari.
  • Riduci i rischi per la sicurezza del tuo account di servizio. Per ulteriori informazioni, consulta le best practice per l'utilizzo degli account di servizio.

Passaggi successivi