Autentica e configura l'accesso all'API all'interno di una workstation

Questo documento descrive come autenticare e configurare l'accesso alle API all'interno di una workstation. Per informazioni generali sull'autenticazione di Google Cloud, consulta la panoramica dell'autenticazione.

Eseguire l'autenticazione come utente con Google Cloud CLI

Dopo aver lanciato Cloud Workstations, puoi accedere ai servizi e all'API Google Cloud utilizzando i tuoi account utente tramite l'interfaccia a riga di comando gcloud.

  1. Apri un terminale nella tua workstation. Il modo in cui apri una finestra del terminale dipende dall'IDE in uso. Ad esempio, se utilizzi l'editor di base di Cloud Workstations, apri un terminale selezionando Terminale > Nuovo terminale o premendo Control+Shift+`.
  2. Esegui l'autenticazione con il seguente comando:
    gcloud auth login --no-launch-browser
  3. Segui le istruzioni fornite dal comando per autenticarti su Google Cloud.
  4. Specifica l'ID progetto Google Cloud con il seguente comando:
    gcloud config set project PROJECT_ID
  5. Attiva le credenziali predefinite dell'applicazione per poter chiamare i servizi Google Cloud.
    gcloud auth application-default login
  6. Le credenziali dell'interfaccia a riga di comando di gcloud sono ora salvate e disponibili quando utilizzi la workstation nelle sessioni future.

Invia una richiesta HTTP a una workstation

Per inviare una richiesta HTTP a una workstation, devi disporre di un token di accesso per un account che abbia il ruolo Utente delle workstation Cloud sulla workstation in questione:

  1. Genera un token di accesso utilizzando il metodo dell'API generateAccessToken.
  2. Aggiungi un'intestazione HTTP denominata Authorization con il valore Bearer $TOKEN.

Connettiti alla workstation nel browser

L'apertura dell'URL della stazione di lavoro nel browser consente di autenticarsi automaticamente tramite un reindirizzamento al server delle stazioni di lavoro e di recuperare un token di accesso generato dal metodo dell'API generateAccessToken. Verrà eseguito il reindirizzamento alla tua workstation e verrà impostato un cookie di autenticazione valido per la sessione corrente della workstation.

Per saltare questo reindirizzamento, utilizza il parametro URL _workstationAccessToken:

  1. Genera un token di accesso utilizzando il metodo dell'API generateAccessToken.
  2. Apri l'URL della tua workstation nel browser e aggiungi un parametro URL con il seguente formato: _workstationAccessToken=TOKEN.

Viene impostato un cookie di autenticazione nel browser che consente l'accesso per la sessione corrente della stazione di lavoro. Saltare il reindirizzamento può essere utile quando l'accesso al server della workstation è bloccato dai criteri di rete o quando utilizzi gli iframe per visualizzare la workstation in altri siti.

Rappresentare un account di servizio

Se i criteri di sicurezza della tua organizzazione impediscono agli account utente di disporre delle autorizzazioni richieste, puoi anche rubare l'identità di un account di servizio. Per simulare l'identità dell' account di servizio specificato nella configurazione della workstation, puoi specificare il campo Ambiti account di servizio.

        gcloud workstations configs create CONFIG \
            --cluster=CLUSTER \
            --region=REGION \
            --project=PROJECT \
            --service-account=SERVICE_ACCOUNT \
            --service-account-scopes=https://www.googleapis.com/auth/cloud-platform
      
Se specificato, gli utenti delle workstation con questa configurazione devono disporre dell'autorizzazione iam.serviceAccounts.actAs per l'account di servizio. Per saperne di più su come specificare gli ambiti per l'account di servizio, consulta Ambiti di accesso.

Passaggi successivi