Questa pagina è stata tradotta dall'API Cloud Translation.

Carica le chiavi dell'account di servizio

Questa pagina spiega come caricare una chiave pubblica per un account di servizio. Dopo aver caricato la chiave pubblica, puoi utilizzare la chiave privata della coppia di chiavi per autenticarti come account di servizio.

Prima di iniziare

Enable the IAM API.
Enable the API
Informazioni sulle credenziali del service account.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per caricare le chiavi del account di servizio, chiedi all'amministratore di concederti il ruolo IAM Amministratore chiavi service account (roles/iam.serviceAccountKeyAdmin) nel progetto o nel account di servizio di cui vuoi gestire le chiavi. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per saperne di più, consulta Ruoli dei service account.

A seconda della configurazione della policy dell'organizzazione, potresti anche dover consentire il caricamento delle account di servizio account nel tuo progetto prima di caricare una chiave.

Per ottenere le autorizzazioni necessarie per consentire il caricamento delle chiavi dell'account di servizio in un progetto, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:

Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin)
Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)
Amministratore tag (roles/resourcemanager.tagAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per consentire il caricamento delle chiavi del account di servizio in un progetto. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per consentire il caricamento delle chiavi del account di servizio in un progetto sono necessarie le seguenti autorizzazioni:

orgpolicy.constraints.list
orgpolicy.customConstraints.create
orgpolicy.customConstraints.delete
orgpolicy.customConstraints.get
orgpolicy.customConstraints.list
orgpolicy.customConstraints.update
orgpolicy.policies.create
orgpolicy.policies.delete
orgpolicy.policies.list
orgpolicy.policies.update
orgpolicy.policy.get
orgpolicy.policy.set
resourcemanager.organizations.get
resourcemanager.projects.listTagBindings
resourcemanager.projects.listEffectiveTags
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.list
resourcemanager.tagValues.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Consenti il caricamento delle chiavi del account di servizio

Prima di creare una chiave account di servizio, assicurati che il vincolo del criterio dell'organizzazione iam.disableServiceAccountKeyUpload non sia applicato al tuo progetto. Se questo vincolo viene applicato al tuo progetto, non puoi caricare le chiavi delaccount di serviziot in quel progetto.

Ti consigliamo di applicare questo vincolo alla maggior parte dei progetti ed esentare solo quelli che richiedono effettivamente le chiavi del account di servizio. Per saperne di più sui metodi di autenticazione alternativi, vedi Scegliere il metodo di autenticazione giusto per il tuo caso d'uso.

Per esentare un progetto dal vincolo delle policy dell'organizzazione iam.disableServiceAccountKeyUpload, chiedi a un amministratore delle policy dell'organizzazione di procedere nel seguente modo:

A livello di organizzazione, crea una chiave tag e un valore tag che utilizzerai per definire se una risorsa deve essere esentata dalla policy dell'organizzazione. Ti consigliamo di creare un tag con la chiave disableServiceAccountKeyUpload e i valori enforced e not_enforced.

Per scoprire come creare chiavi e valori dei tag, consulta Creazione e definizione di un nuovo tag.
Allega il tag disableServiceAccountKeyUpload all'organizzazione e imposta il valore su enforced. Tutte le risorse dell'organizzazione ereditano questo valore del tag, a meno che non venga sovrascritto con un valore diverso.

Per scoprire come collegare i tag alle risorse, consulta Collegare i tag alle risorse.
Per ogni progetto o cartella che vuoi esentare dal criterio dell'organizzazione, aggiungi il tag disableServiceAccountKeyUpload e imposta il suo valore su not_enforced. L'impostazione di un valore tag per un progetto o una cartella in questo modo sostituisce il valore tag ereditato dall'organizzazione.
Crea o aggiorna il criterio dell'organizzazione che impedisce il caricamento delle chiavi account di servizio in modo che non applichi il vincolo per le risorse esenti. Queste norme devono prevedere le seguenti regole:
- Configura il vincolo iam.disableServiceAccountKeyUpload in modo che non venga applicato a nessuna risorsa con il tag disableServiceAccountKeyUpload: not_enforced. La condizione in questa regola dovrebbe essere simile alla seguente:
```
"resource.matchTag('ORGANIZATION_ID/disableServiceAccountKeyUpload', 'not_enforced')"
```
- Configura il vincolo iam.disableServiceAccountKeyUpload in modo che venga applicato a tutte le altre risorse.

Carica una chiave pubblica per un account di servizio

Puoi caricare la parte di chiave pubblica di una coppia di chiavi gestita dall'utente per associarla a un account di servizio. Dopo aver caricato la chiave pubblica, puoi utilizzare la chiave privata della coppia di chiavi come chiave del service account.

La chiave che carichi deve essere una chiave pubblica RSA inserita in un certificato X.509 v3 e codificata in base64. Puoi utilizzare strumenti come OpenSSL per generare una chiave e un certificato in questo formato.

Non includere informazioni private nel certificato X.509. In particolare, utilizza un argomento generico e non aggiungere attributi facoltativi. I certificati sono visibili pubblicamente; le informazioni private contenute nel certificato sono visibili a chiunque lo recuperi. Per ulteriori informazioni, consulta Evitare di divulgare informazioni riservate nei certificati X.509 caricati.

Se il vincolo della policy dell'organizzazione iam.serviceAccountKeyExpiryHours è applicato al tuo progetto, la chiave che carichi deve scadere entro il periodo di tempo specificato nel vincolo. Per impostare la data e l'ora di scadenza della chiave, utilizza il valore -days nel comando utilizzato per generare il certificato X.509. Se il valore -days è maggiore del periodo di tempo specificato nel vincolo, il comando non riuscirà.

Ad esempio, il seguente comando genera una coppia di chiave RSA a 2048 bit e racchiude la chiave pubblica in un certificato autofirmato valido per 365 giorni:

openssl req -x509 -nodes -newkey rsa:2048 -days 365 \
    -keyout /path/to/private_key.pem \
    -out /path/to/public_key.pem \
    -subj "/CN=unused"

Puoi quindi caricare il file public_key.pem come chiave pubblica per un service account.

Console

Nella Google Cloud console, vai alla pagina Service account.
Vai ad Account di servizio

I passaggi rimanenti vengono visualizzati nella console Google Cloud .
Seleziona un progetto.
Nella pagina Account di servizio, fai clic sull'indirizzo email dell'account di servizio per cui vuoi caricare una chiave.
Fai clic sulla scheda Chiavi.
Fai clic sul menu a discesa Aggiungi chiave, quindi seleziona Carica chiave esistente.
Fai clic su Sfoglia, quindi trova e seleziona il file della chiave pubblica. In alternativa, puoi copiare e incollare il contenuto del file della chiave pubblica nella casella Incolla una chiave esistente.
Fai clic su Carica.

gcloud

Esegui il comando gcloud iam service-accounts keys upload per caricare una chiave pubblica per la firma delle chiavi del account di servizio.

Sostituisci i seguenti valori:

KEY_FILE: il percorso del file contenente i dati della chiave da caricare, ad esempio ./public_key.pem.
SA_NAME: il nome del account di servizio per cui caricare una chiave.
PROJECT_ID: il tuo ID progetto Google Cloud .

gcloud iam service-accounts keys upload KEY_FILE \
    --iam-account=SA_NAME@PROJECT_ID.iam.gserviceaccount.com

L'output contiene un identificatore univoco per la chiave caricata:

Name: projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys/c7b74879da78e4cdcbe7e1bf5e129375c0bfa8d0

Per determinare se il comando è stato eseguito correttamente, esegui il comando gcloud iam service-accounts keys list:

gcloud iam service-accounts keys list \
    --iam-account=SA_NAME@PROJECT_ID.iam.gserviceaccount.com

L'output conterrà lo stesso identificatore univoco restituito dopo la creazione della chiave:

KEY_ID	CREATED_AT	EXPIRES_AT	DISATTIVATO
c7b74879da78e4cdcbe7e1bf5e129375c0bfa8d0	2019-06-26T21:01:42Z	9999-12-31T23:59:59Z

REST

Il metodo projects.serviceAccounts.keys.upload carica la chiave pubblica da una coppia di chiavi gestita dall'utente e la aggiunge al account di servizio.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.
SA_NAME: il nome del account di servizio a cui associare la chiave.
PUBLIC_KEY_DATA: I dati della chiave pubblica per la coppia di chiavi. Deve essere una chiave pubblica RSA inserita in un certificato X.509 v3. Codifica i dati della chiave pubblica in base64, inclusa la prima riga, -----BEGIN CERTIFICATE-----, e l'ultima riga, -----END CERTIFICATE-----.

Metodo HTTP e URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys:upload

Corpo JSON della richiesta:

{
  "publicKeyData": "PUBLIC_KEY_DATA"
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys:upload"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys:upload" | Select-Object -Expand Content

Explorer API (browser)

Copia il corpo della richiesta e apri la pagina di riferimento del metodo. Il riquadro APIs Explorer si apre sul lato destro della pagina. Puoi interagire con questo strumento per inviare richieste. Incolla il corpo della richiesta in questo strumento, compila gli altri campi obbligatori e fai clic su Esegui.

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/c7b74879da78e4cdcbe7e1bf5e129375c0bfa8d0",
  "validAfterTime": "2020-05-17T19:31:19Z",
  "validBeforeTime": "2021-05-17T19:31:19Z",
  "keyAlgorithm": "KEY_ALG_RSA_2048",
  "keyOrigin": "USER_PROVIDED",
  "keyType": "USER_MANAGED"
}

Disattivare i caricamenti di chiavi pubbliche

Per disabilitare la possibilità di caricare chiavi per il tuo progetto, consulta Limitare il caricamento account di servizio account.

Passaggi successivi

Scopri come creare ed eliminare le account di servizio account.
Scopri come elencare e ottenere le account di servizio account.
Scopri di più sulle alternative alle chiavi del account di servizio per l'autenticazione.
Scopri come utilizzare le chiavi del account di servizio per autenticarti come service account.
Comprendere le best practice per la gestione delle account di servizio di servizio.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente