Questa pagina spiega come utilizzare i limiti di accesso delle credenziali per ridurre l'ambito o limitare le autorizzazioni di Identity and Access Management (IAM) che possono essere utilizzate da una credenziale di breve durata.
Puoi utilizzare i limiti di accesso alle credenziali per generare token di accesso OAuth 2.0 che rappresentano un account di servizio, ma hanno meno autorizzazioni rispetto all'account di servizio. Ad esempio, se uno dei tuoi clienti deve accedere ai dati di Cloud Storage che controlli, puoi procedere nel seguente modo:
- Crea un account di servizio che possa accedere a tutti i bucket Cloud Storage di tua proprietà.
- Genera un token di accesso OAuth 2.0 per l'account di servizio.
- Applica un confine di accesso alle credenziali che consenta l'accesso solo al bucket che contiene i dati del cliente.
Come funzionano i confini per l'accesso con credenziali
Per ridurre l'ambito delle autorizzazioni, definisci un confine per l'accesso con credenziali che specifica le risorse a cui può accedere la credenziale di breve durata, nonché un limite superiore per le autorizzazioni disponibili su ogni risorsa. Puoi quindi creare una credenziale di breve durata e scambiarla con una nuova credenziale che rispetti il confine di accesso alle credenziali.
Se devi assegnare ai principali un insieme distinto di autorizzazioni per ogni sessione, l'utilizzo dei limiti di accesso alle credenziali può essere più efficiente rispetto alla creazione di molti account di servizio diversi e alla concessione di un insieme diverso di ruoli a ciascun account di servizio.
Esempi di confini per l'accesso con credenziali
Le sezioni seguenti mostrano esempi di limiti di accesso alle credenziali per i casi d'uso comuni. Utilizzi il confine di accesso alle credenziali quando sostituisci un token di accesso OAuth 2.0 con un token con ambito ridotto.
Limitare le autorizzazioni per un bucket
L'esempio seguente mostra un semplice confine di accesso alle credenziali. Si applica al bucket Cloud Storage example-bucket
e imposta il limite superiore per le autorizzazioni incluse nel ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer
):
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
}
]
}
}
Limitare le autorizzazioni per più bucket
L'esempio seguente mostra un confine di accesso alle credenziali che include regole per più bucket:
- Il bucket Cloud Storage
example-bucket-1
: per questo bucket sono disponibili solo le autorizzazioni nel ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer
). - Il bucket Cloud Storage
example-bucket-2
: per questo bucket sono disponibili solo le autorizzazioni nel ruolo Creatore oggetti Storage (roles/storage.objectCreator
).
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
},
{
"availablePermissions": [
"inRole:roles/storage.objectCreator"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
}
]
}
}
Limitare le autorizzazioni per oggetti specifici
Puoi anche utilizzare le condizioni IAM per specificare gli oggetti Cloud Storage a cui un principale può accedere. Ad esempio, puoi
aggiungere una condizione che renda disponibili le autorizzazioni per gli oggetti il cui nome inizia
con customer-a
:
{ "accessBoundary": { "accessBoundaryRules": [ { "availablePermissions": [ "inRole:roles/storage.objectViewer" ], "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket", "availabilityCondition": { "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')" } } ] } }
Limitare le autorizzazioni durante l'elenco degli oggetti
Quando elenchi gli oggetti in un bucket Cloud Storage, stai chiamando un metodo su una risorsa bucket, non su una risorsa oggetto. Di conseguenza, se una condizione viene valutata per una richiesta di elenco e fa riferimento al nome della risorsa, il nome della risorsa identifica il bucket, non un oggetto all'interno del bucket. Ad esempio, quando elenchi gli oggetti in
example-bucket
, il nome della risorsa è projects/_/buckets/example-bucket
.
Questa convenzione di denominazione può comportare un comportamento imprevisto quando elenchi gli oggetti.
Ad esempio, supponiamo che tu voglia un confine di accesso alle credenziali che consenta l'accesso in visualizzazione agli oggetti in example-bucket
con il prefisso customer-a/invoices/
.
Puoi provare a utilizzare la seguente condizione nel limite di accesso con credenziali:
Incompleta: condizione che controlla solo il nome della risorsa
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')
Questa condizione funziona per la lettura degli oggetti, ma non per l'elenco degli oggetti:
- Quando un entità principale tenta di leggere un oggetto in
example-bucket
con il prefissocustomer-a/invoices/
, la condizione ha come risultatotrue
. - Quando un entità principale tenta di elencare gli oggetti con quel prefisso, la condizione viene valutata come
false
. Il valore diresource.name
èprojects/_/buckets/example-bucket
, che non inizia conprojects/_/buckets/example-bucket/objects/customer-a/invoices/
.
Per evitare questo problema, oltre a utilizzare resource.name.startsWith()
, la condizione può controllare un attributo API denominato storage.googleapis.com/objectListPrefix
. Questo attributo contiene il valore del parametro prefix
utilizzato per filtrare l'elenco di oggetti. Di conseguenza,
puoi scrivere una condizione che fa riferimento al valore del parametro prefix
.
L'esempio seguente mostra come utilizzare l'attributo API in una condizione. Consente di leggere e elencare gli oggetti in example-bucket
con il prefisso customer-a/invoices/
:
Completa: condizione che controlla il nome della risorsa e il prefisso
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '') .startsWith('customer-a/invoices/')
Ora puoi utilizzare questa condizione in un limite di accesso alle credenziali:
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
"availabilityCondition": {
"expression":
"resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
}
}
]
}
}
Prima di iniziare
Prima di utilizzare i limiti di accesso alle credenziali, assicurati di soddisfare i seguenti requisiti:
Devi ridurre l'ambito delle autorizzazioni solo per Cloud Storage, non per altri servizi Google Cloud.
Se devi limitare le autorizzazioni per altri servizi Google Cloud, puoi creare più account di servizio e concedere un insieme diverso di ruoli a ciascun account di servizio.
Per l'autenticazione puoi utilizzare i token di accesso OAuth 2.0. Altri tipi di credenziali di breve durata non supportano i confini di accesso alle credenziali.
Inoltre, devi attivare le API richieste:
-
Enable the IAM and Security Token Service APIs.
Creare una credenziale di breve durata con ambito ridotto
Per creare un token di accesso OAuth 2.0 con autorizzazioni con ambito ridotto, segui questi passaggi:
- Concedi i ruoli IAM appropriati a un utente o a un account di servizio.
- Definisci un confine di accesso alle credenziali che imposti un limite superiore alle autorizzazioni disponibili per l'account utente o di servizio.
- Crea un token di accesso OAuth 2.0 per l'account utente o di servizio.
- Scambia il token di accesso OAuth 2.0 con un nuovo token che rispetti il confine di accesso alle credenziali.
Puoi quindi utilizzare il nuovo token di accesso OAuth 2.0 con ambito ridotto per autenticare le richieste a Cloud Storage.
Concedi ruoli IAM
Un limite di accesso con credenziali imposta un limite superiore per le autorizzazioni disponibili per una risorsa. Può sottrarre autorizzazioni a un'entità, ma non può aggiungerne di cui l'entità non dispone già.
Di conseguenza, devi anche concedere al principale i ruoli che forniscono le autorizzazioni di cui ha bisogno in un bucket Cloud Storage o in una risorsa di livello superiore, come il progetto.
Ad esempio, supponiamo che tu debba creare una credenziale di breve durata con ambito ridotto che consenta a un account di servizio di creare oggetti in un bucket:
- Come minimo, devi concedere all'account di servizio un ruolo che includa l'autorizzazione
storage.objects.create
, ad esempio il ruolo Creatore oggetti archiviazione (roles/storage.objectCreator
). Anche il confine di accesso alle credenziali deve includere questa autorizzazione. - Puoi anche concedere un ruolo che includa più autorizzazioni, ad esempio il ruolo Amministratore oggetti archiviazione (
roles/storage.objectAdmin
). L'account di servizio può utilizzare solo le autorizzazioni visualizzate sia nella concessione del ruolo sia nel confine di accesso delle credenziali.
Per informazioni sui ruoli predefiniti per Cloud Storage, consulta Ruoli di Cloud Storage.
Componenti di un limite di accesso con credenziali
Un limite di accesso con credenziali è un oggetto contenente un elenco di regole relative ai limiti di accesso. Ogni regola contiene le seguenti informazioni:
- La risorsa a cui si applica la regola.
- Il limite superiore delle autorizzazioni disponibili per la risorsa.
- (Facoltativo) Una condizione che limita ulteriormente le autorizzazioni. Una condizione include quanto segue:
- Un'espressione di condizione che restituisce
true
ofalse
. Se il valore ètrue
, l'accesso è consentito; in caso contrario, l'accesso è negato. - (Facoltativo) Un titolo che identifica la condizione.
- (Facoltativo) Una descrizione con ulteriori informazioni sulla condizione.
- Un'espressione di condizione che restituisce
Se applichi un limite di accesso alle credenziali a una credenziale di breve durata, la credenziale può accedere solo alle risorse nel limite di accesso alle credenziali. Non sono disponibili autorizzazioni su altre risorse.
Un limite di accesso con credenziali può contenere fino a 10 regole relative ai limiti di accesso. Puoi applicare un solo limite di accesso alle credenziali a ogni credenziale di breve durata.
Quando è rappresentato come oggetto JSON, un confine di accesso alle credenziali contiene i seguenti campi:
Campi | |
---|---|
accessBoundary |
Un wrapper per il confine di accesso con credenziali. |
accessBoundary.accessBoundaryRules[] |
Un elenco di regole relative ai limiti di accesso da applicare a una credenziale di breve durata. |
accessBoundary.accessBoundaryRules[].availablePermissions[] |
Un elenco che definisce il limite superiore delle autorizzazioni disponibili per la risorsa.
Ogni valore è l'identificatore di un ruolo predefinito o personalizzato IAM, con il prefisso |
accessBoundary.accessBoundaryRules[].availableResource |
Il nome completo della risorsa del bucket Cloud Storage a cui si applica la regola. Utilizza il formato
|
accessBoundary.accessBoundaryRules[].availabilityCondition |
Facoltativo. Una condizione che limita la disponibilità delle autorizzazioni a oggetti Cloud Storage specifici. Utilizza questo campo se vuoi rendere disponibili le autorizzazioni per oggetti specifici anziché per tutti gli oggetti di un bucket Cloud Storage. |
accessBoundary.accessBoundaryRules[].availabilityCondition.expression |
Un'espressione di condizione che specifica gli oggetti Cloud Storage in cui sono disponibili le autorizzazioni.
Per scoprire come fare riferimento a oggetti specifici in un'espressione di condizione, consulta
l'attributo |
accessBoundary.accessBoundaryRules[].availabilityCondition.title |
Facoltativo. Una stringa breve che identifica lo scopo della condizione. |
accessBoundary.accessBoundaryRules[].availabilityCondition.description |
Facoltativo. Dettagli sullo scopo della condizione. |
Per esempi in formato JSON, consulta Esempi di limiti di accesso alle credenziali in questa pagina.
Crea un token di accesso OAuth 2.0
Prima di creare una credenziale di breve durata con ambito ridotto, devi creare un normale
token di accesso OAuth 2.0. Puoi quindi scambiare la normale credenziale con una
credenziale con ambito ridotto. Quando crei il token di accesso, utilizza l'ambito OAuth 2.0https://www.googleapis.com/auth/cloud-platform
.
Per creare un token di accesso per un account di servizio, puoi completare il flusso OAuth 2.0 server-to-server oppure utilizzare l'API Service Account Credentials per generare un token di accesso OAuth 2.0.
Per creare un token di accesso per un utente, consulta Ottenere token di accesso OAuth 2.0. Puoi anche utilizzare OAuth 2.0 Playground per creare un token di accesso per il tuo proprio Account Google.
Scambia il token di accesso OAuth 2.0
Dopo aver creato un token di accesso OAuth 2.0, puoi scambiarlo con un token con ambito ridotto che rispetti il confine di accesso alle credenziali. Questo procedura in genere coinvolge un broker di token e un consumatore di token:
Il broker di token è responsabile della definizione del confine per l'accesso con credenziali e dello scambio di un token di accesso con un token con ambito ridotto.
Il broker di token può utilizzare una libreria di autenticazione supportata per scambiare automaticamente i token di accesso oppure può chiamare il servizio Security Token Service per scambiare i token manualmente.
Il consumatore di token richiede un token di accesso con ambito ridotto al broker di token, quindi utilizza il token di accesso con ambito ridotto per eseguire un'altra azione.
Il consumatore di token può utilizzare una libreria di autenticazione supportata per aggiornare automaticamente i token di accesso prima della scadenza. In alternativa, può aggiornare i token manualmente o consentire la scadenza dei token senza aggiornarli.
Scambiare e aggiornare automaticamente il token di accesso
Se crei il broker di token e il consumatore di token con uno dei seguenti linguaggi, puoi utilizzare la libreria di autenticazione di Google per scambiare e aggiornare automaticamente i token:
Go
Per Go, puoi scambiare e aggiornare automaticamente i token con la versione v0.0.0-20210819190943-2bc19b11175f o successive del pacchetto golang.org/x/oauth2
.
Per controllare quale versione di questo pacchetto stai utilizzando, esegui il seguente comando nella directory dell'applicazione:
go list -m golang.org/x/oauth2
L'esempio seguente mostra come un broker di token può generare token con ambito ridotto:
Il seguente esempio mostra come un consumatore di token può utilizzare un gestore dell'aggiornamento per ottenere e aggiornare automaticamente i token con ambito ridotto:
Java
Per Java, puoi scambiare e aggiornare automaticamente i token con la versione 1.1.0 o successive dell'artefatto com.google.auth:google-auth-library-oauth2-http
.
Per controllare quale versione di questo elemento utilizzi, esegui il seguente comando Maven nella directory dell'applicazione:
mvn dependency:list -DincludeArtifactIds=google-auth-library-oauth2-http
L'esempio seguente mostra come un broker di token può generare token con ambito ridotto:
Il seguente esempio mostra come un consumatore di token può utilizzare un gestore dell'aggiornamento per ottenere e aggiornare automaticamente i token con ambito ridotto:
Node.js
Per Node.js, puoi scambiare e aggiornare automaticamente i token con la versione 7.9.0 o successive del pacchetto google-auth-library
.
Per controllare quale versione di questo pacchetto stai utilizzando, esegui il seguente comando nella directory dell'applicazione:
npm list google-auth-library
L'esempio seguente mostra come un broker di token può generare token con ambito ridotto:
L'esempio seguente mostra come un consumatore di token può fornire un gestore dell'aggiornamento che ottiene e aggiorna automaticamente i token con ambito ridotto:
Python
Per Python, puoi scambiare e aggiornare automaticamente i token con la versione 2.0.0 o successive del pacchetto google-auth
.
Per controllare la versione di questo pacchetto in uso, esegui il seguente comando nell'ambiente in cui è installato il pacchetto:
pip show google-auth
L'esempio seguente mostra come un broker di token può generare token con ambito ridotto:
L'esempio seguente mostra come un consumatore di token può fornire un gestore dell'aggiornamento che ottiene e aggiorna automaticamente i token con ambito ridotto:
Scambiare e aggiornare manualmente il token di accesso
Un broker di token può utilizzare l'API Security Token Service per scambiare un token di accesso con un token di accesso con ambito ridotto. Può quindi fornire il token con ambito ridotto a un consumatore di token.
Per scambiare il token di accesso, utilizza il seguente metodo e URL HTTP:
POST https://sts.googleapis.com/v1/token
Imposta l'intestazione Content-Type
nella richiesta su
application/x-www-form-urlencoded
. Includi i seguenti campi nel corpo della richiesta:
Campi | |
---|---|
grant_type |
Utilizza il valore
|
options |
Un confine di accesso alle credenziali in formato JSON, codificato con codifica percentuale. |
requested_token_type |
Utilizza il valore
|
subject_token |
Il token di accesso OAuth 2.0 che vuoi scambiare. |
subject_token_type |
Utilizza il valore
|
La risposta è un oggetto JSON contenente i seguenti campi:
Campi | |
---|---|
access_token |
Un token di accesso OAuth 2.0 con ambito ridotto che rispetta il confine per l'accesso con credenziali. |
expires_in |
Il tempo che manca alla scadenza del token con ambito ridotto, in secondi. Questo campo è presente solo se il token di accesso originale rappresenta un account di servizio. Se questo campo non è presente, il token con ambito ridotto ha la stessa scadenza del token di accesso originale. |
issued_token_type |
Contiene il valore
|
token_type |
Contiene il valore |
Ad esempio, se nel file./access-boundary.json
è archiviato un confine di accesso alle credenziali in formato JSON, puoi utilizzare il seguente comandocurl
per scambiare il token di accesso. Sostituisci
original-token
con il token di accesso originale:
curl -H "Content-Type:application/x-www-form-urlencoded" \ -X POST \ https://sts.googleapis.com/v1/token \ -d "grant_type=urn:ietf:params:oauth:grant-type:token-exchange&subject_token_type=urn:ietf:params:oauth:token-type:access_token&requested_token_type=urn:ietf:params:oauth:token-type:access_token&subject_token=original-token" \ --data-urlencode "options=$(cat ./access-boundary.json)"
La risposta è simile al seguente esempio:
{
"access_token": "ya29.dr.AbCDeFg-123456...",
"issued_token_type": "urn:ietf:params:oauth:token-type:access_token",
"token_type": "Bearer",
"expires_in": 3600
}
Quando un consumatore di token richiede un token con ambito ridotto, il broker di token deve rispondere sia con il token con ambito ridotto sia con il numero di secondi che rimangono prima della scadenza. Per aggiornare il token con ambito ridotto, il consumatore può richiedere un token con ambito ridotto al broker prima della scadenza del token esistente.
Passaggi successivi
- Scopri di più sul controllo dell'accesso per Cloud Storage.
- Crea una credenziale per account di servizio di breve durata.
- Crea un token di accesso OAuth 2.0 per un account di servizio utilizzando il flusso OAuth 2.0 server-to-server o l'API Credenziali account di servizio.
- Crea un token di accesso OAuth 2.0 per un utente.
- Consulta le autorizzazioni in ogni ruolo predefinito.
- Scopri di più sui ruoli personalizzati.