Crea una VM che utilizza un service account gestito dall'utente

Questo documento spiega come creare un'istanza di macchina virtuale (VM) configurata per utilizzare un service account gestito dall'utente. Un service account è un tipo speciale di account utilizzato in genere da un'applicazione o da un workload di computing per effettuare chiamate API autorizzate.

I service account sono necessari per gli scenari in cui un workload, ad esempio un'applicazione personalizzata, deve accedere alle risorse Trusted Cloud by S3NS o eseguire azioni senza il coinvolgimento dell'utente finale. Per ulteriori informazioni su quando utilizzare i service account, consulta Best practice per l'utilizzo dei service account.

Se hai applicazioni che devono effettuare chiamate alle API Trusted Cloud by S3NS , Google consiglia di collegare un service account gestito dall'utente alla VM su cui è in esecuzione l'applicazione o il workload. Poi, concedi al service account i ruoli IAM, che concedono al service account e, per estensione, alle applicazioni in esecuzione sulla VM, l'accesso alle risorseTrusted Cloud by S3NS .

Prima di iniziare

  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è il processo mediante il quale la tua identità viene verificata per l'accesso a servizi e API di Trusted Cloud by S3NS . Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

    gcloud

      1. After installing the Google Cloud CLI, sign in to the gcloud CLI with your federated identity and then initialize it by running the following command: 

        gcloud init
      2. Set a default region and zone.

        3. Terraform

        Per utilizzare gli esempi di Terraform in questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.

        1. Install the Google Cloud CLI.

        2. Configure the gcloud CLI to use your federated identity.

          For more information, see Sign in to the gcloud CLI with your federated identity.

        3. To initialize the gcloud CLI, run the following command: 

          gcloud init

        4. Create local authentication credentials for your user account: 

          gcloud auth application-default login

          If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

        Per ulteriori informazioni, vedi Set up authentication for a local development environment.

        REST

        Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.

          After installing the Google Cloud CLI, sign in to the gcloud CLI with your federated identity and then initialize it by running the following command: 

          gcloud init

        Per saperne di più, consulta la sezione Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Trusted Cloud .

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare VM che utilizzano service account, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per creare VM che utilizzano service account. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per creare VM che utilizzano service account sono necessarie le seguenti autorizzazioni:

  • Per creare service account: Tutte le autorizzazioni nel ruolo iam.serviceAccountCreator
  • Per concedere le autorizzazioni al service account: Tutte le autorizzazioni nel ruolo resourcemanager.projectIamAdmin
  • Per creare le VM:
    • compute.instances.create sul progetto
    • Per utilizzare un'immagine personalizzata per creare la VM: compute.images.useReadOnly sull'immagine
    • Per utilizzare uno snapshot per creare la VM: compute.snapshots.useReadOnly sullo snapshot
    • Per utilizzare un template di istanza per creare la VM: compute.instanceTemplates.useReadOnly sul template di istanza
    • Per assegnare una rete legacy alla VM: compute.networks.use sul progetto
    • Per specificare un indirizzo IP statico per la VM: compute.addresses.use sul progetto
    • Per assegnare un indirizzo IP esterno alla VM quando viene utilizzata una rete legacy: compute.networks.useExternalIp sul progetto
    • Per specificare una subnet per la VM: compute.subnetworks.use sul progetto o sulla subnet scelta
    • Per assegnare un indirizzo IP esterno alla VM quando si utilizza una rete VPC: compute.subnetworks.useExternalIp sul progetto o sulla subnet scelta
    • Per impostare i metadati dell'istanza VM per la VM: compute.instances.setMetadata sul progetto
    • Per impostare i tag per la VM: compute.instances.setTags sulla VM
    • Per impostare le etichette per la VM: compute.instances.setLabels sulla VM
    • Per impostare un service account che la VM possa utilizzare: compute.instances.setServiceAccount sulla VM
    • Per creare un nuovo disco per la VM: compute.disks.create sul progetto
    • Per collegare un disco esistente in modalità di sola lettura o lettura/scrittura: compute.disks.use sul disco
    • Per collegare un disco esistente in modalità di sola lettura: compute.disks.useReadOnly sul disco

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Panoramica

Ti consigliamo di configurare i service account per le tue VM come segue:

  1. Crea un nuovo service account gestito dall'utente anziché utilizzare quello predefinito di Compute Engine e concedi a questo service account i ruoli IAM solo per le risorse e le operazioni di cui ha bisogno.
  2. Collega il service account alla VM.
  3. Imposta l'ambito della piattaforma cloud (https://www.googleapis.com/auth/cloud-platform) sulla VM. In questo modo, il service account della VM può chiamare le API Trusted Cloud by S3NS di cui ha l'autorizzazione per l'utilizzo.
    • Se specifichi il service account utilizzando la console Trusted Cloud , l'ambito di accesso della VM viene impostato automaticamente sull'ambito cloud-platform.
    • Se specifichi il service account utilizzando Google Cloud CLI o l'API Compute Engine, puoi utilizzare il parametro scopes per impostare l'ambito di accesso.

Configura un service account

Crea un service account e assegna i ruoli IAM richiesti. Assegna tutti i ruoli IAM necessari. Puoi modificare i ruoli IAM nel tuo service account in base alle esigenze.

Google consiglia di limitare i privilegi dei service account e di controllare regolarmente le autorizzazioni dei service account per assicurarsi che siano aggiornate.

Utilizza uno dei seguenti metodi per configurare il service account.

Console

    In the Trusted Cloud console, go to the Create service account page.

    Go to Create service account
  1. Select your project.

  2. In the Service account name field, enter a name. The Trusted Cloud console fills in the Service account ID field based on this name.

    In the Service account description field, enter a description. For example, Service account for quickstart.

  3. Click Create and continue.

  4. Grant the required roles to the service account.

    To grant a role, find the Select a role list, then select the role.

    To grant additional roles, click Add another role and add each additional role.

  5. Click Continue.

  6. In the Service account users role field, enter the identifier for the principal that will attach the service account to other resources, such as Compute Engine instances.

    This is typically the identifier for a user in a workforce identity pool. For details, see Represent workforce pool users in IAM policies.

  7. Click Done to finish creating the service account.

gcloud

    Set up authentication:

    1. Create the service account: 

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Replace SERVICE_ACCOUNT_NAME with a name for the service account.

    2. To provide access to your project and your resources, grant a role to the service account: 

      gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com" --role=ROLE

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • ROLE: the role to grant
    3. To grant another role to the service account, run the command as you did in the previous step.

    4. Grant the required role to the principal that will attach the service account to other resources. 

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com --member="principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ID" --role=roles/iam.serviceAccountUser

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account.
      • PROJECT_ID: the project ID where you created the service account.
      • POOL_ID: a workforce identity pool ID.
      • SUBJECT_ID: a subject ID; typically the identifier for a user in a workforce identity pool. For details, see Represent workforce pool users in IAM policies.

Terraform

Per creare un service account, puoi utilizzare la risorsa google_service_account.

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

Ricorda di sostituire i valori segnaposto per gli attributi account_id e display_name.

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Crea una VM e collega il service account

Dopo aver creato il service account, crea una VM e collega il service account creato nella sezione precedente. Imposta anche l'ambito di accesso della VM su cloud-platform.

Se hai già una VM esistente e vuoi configurarla in modo che utilizzi un service account diverso, consulta Modifica il service account collegato.

Utilizza uno dei seguenti metodi per creare una VM e collegare il service account.

Console

  1. Nella console Trusted Cloud , vai alla pagina Crea un'istanza.

    Vai a Crea un'istanza

  2. Per collegare un service account:

    1. Nel menu di navigazione, fai clic su Sicurezza.
    2. Nell'elenco Service account, seleziona il service account che hai creato.
    3. Per Ambiti di accesso, seleziona Consenti l'accesso completo a tutte le API Cloud.

  3. (Facoltativo) Specifica altre opzioni di configurazione. Per ulteriori informazioni, consulta Opzioni di configurazione durante la creazione dell'istanza.

  4. Per creare e avviare l'istanza, fai clic su Crea.

gcloud

Per creare una nuova istanza VM e configurarla per utilizzare un service account personalizzato utilizzando Google Cloud CLI, utilizza il comando gcloud compute instances create e fornisci l'indirizzo email del service account e l'ambito di accesso cloud-platform all'istanza VM.

gcloud compute instances create VM_NAME \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Sostituisci quanto segue:

  • SERVICE_ACCOUNT_EMAIL: l'indirizzo email del service account che hai creato. Ad esempio: my-sa-123@my-project-123.s3ns-system.iam.gserviceaccount.com. Per visualizzare l'indirizzo email, consulta Creazione dell'elenco dei service account.
  • VM_NAME: il nome dell'istanza VM.

Ad esempio:

gcloud compute instances create example-vm \
    --service-account 123-my-sa@my-project-123.s3ns-system.iam.gserviceaccount.com \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Puoi anche specificare l'ambito utilizzando l'alias: --scopes=cloud-platform. Questi alias sono riconosciuti solo da gcloud CLI. L'API e altre librerie non riconoscono questi alias, pertanto devi specificare l'URI di ambito completo.

Terraform

Per configurare una nuova VM in modo che utilizzi un service account, puoi utilizzare la risorsa google_compute_instance.

resource "google_compute_instance" "default" {
  name         = "my-test-vm"
  machine_type = "n1-standard-1"
  zone         = "us-central1-a"

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }

  // Local SSD disk
  scratch_disk {
    interface = "SCSI"
  }

  network_interface {
    network = "default"

    access_config {
      // Ephemeral public IP
    }
  }

  service_account {
    # Google recommends custom service accounts with `cloud-platform` scope with
    # specific permissions granted via IAM Roles.
    # This approach lets you avoid embedding secret keys or user credentials
    # in your instance, image, or app code
    email  = google_service_account.default.email
    scopes = ["cloud-platform"]
  }
}

REST

Utilizza il metodo instances.insert per creare la VM e specifica l'indirizzo email e l'ambito di accesso del service account per l'istanza VM.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
   "machineType":"zones/MACHINE_TYPE_ZONE/machineTypes/MACHINE_TYPE",
   "name":"VM_NAME",
   
   "disks":[
      {
         "initializeParams":{
            "sourceImage":"projects/IMAGE_PROJECT/global/images/IMAGE"
         },
         "boot":true
      }
   ],
   
   
   "networkInterfaces":[
      {
         "network":"global/networks/NETWORK_NAME"
      }
   ],
   
  "serviceAccounts": [
      {
      "email": "SERVICE_ACCOUNT_EMAIL",
      "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
      }
   ],
   "shieldedInstanceConfig":{
      "enableSecureBoot":"ENABLE_SECURE_BOOT"
   }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui creare la VM.
  • ZONE: la zona in cui creare la VM.
  • MACHINE_TYPE_ZONE: la zona contenente il tipo di macchina da utilizzare per la nuova VM.
  • MACHINE_TYPE: il tipo di macchina, predefinita o personalizzata, per la nuova VM.
  • VM_NAME: il nome della nuova VM.
  • IMAGE_PROJECT: il progetto contenente l'immagine
    Ad esempio, se specifichi debian-10 come famiglia di immagini, specifica debian-cloud come progetto di immagini.
  • IMAGE: specifica una delle seguenti opzioni:

    • IMAGE: una versione specifica di un'immagine pubblica.

      Ad esempio, "sourceImage": "projects/debian-cloud/global/images/debian-10-buster-v20200309"

    • IMAGE_FAMILY: una famiglia di immagini.

      In questo modo, la VM viene creata dall'immagine sistema operativo più recente e non deprecata. Ad esempio, se specifichi "sourceImage": "projects/debian-cloud/global/images/family/debian-10", Compute Engine crea una VM dall'ultima versione dell'immagine sistema operativo nella famiglia di immagini Debian 10.

  • NETWORK_NAME: la rete VPC che vuoi utilizzare per la VM. Puoi specificare default per utilizzare la rete predefinita.
  • SERVICE_ACCOUNT_EMAIL: l'indirizzo email del service account che hai creato. Ad esempio: my-sa-123@my-project-123.s3ns-system.iam.gserviceaccount.com. Per visualizzare l'indirizzo email, consulta ottieni un'email per il service account.

  • ENABLE_SECURE_BOOT: (Facoltativo) se hai scelto un'immagine che supporta le funzionalità Shielded VM, Compute Engine attiva per impostazione predefinita il Virtual Trusted Platform Module (vTPM) e il monitoraggio dell'integrità. Compute Engine non attiva l'Avvio protetto per impostazione predefinita.

    Se specifichi true per enableSecureBoot, Compute Engine crea una VM con tutte e tre le funzionalità Shielded VM attivate. Dopo che Compute Engine ha avviato la VM, per modificare le opzioni Shielded VM devi arrestarla.

Accedi e utilizza altri servizi Trusted Cloud by S3NS

Una volta configurata la VM per l'utilizzo del service account, le applicazioni possono utilizzarlo per l'autenticazione. Il metodo più comune è eseguire l'autenticazione utilizzando le Credenziali predefinite dell'applicazione e una libreria client. Alcuni strumenti Trusted Cloud by S3NS , come gcloud CLI, sono in grado di utilizzare automaticamente il service account per accedere alle API Trusted Cloud by S3NS da una VM. Per ulteriori informazioni, consulta Autentica i workload utilizzando i service account.

Se un service account viene eliminato, le applicazioni non avranno più accesso alle risorseTrusted Cloud by S3NS tramite quel service account. Se elimini i service account predefiniti di App Engine e Compute Engine, le VM non avranno più accesso alle risorse del progetto. Se non sai con certezza se un service account è in uso, Google consiglia di disattivarlo prima di eliminarlo. I service account disattivati possono essere riattivati se sono ancora necessari.

Esempio: accedi alle risorse di Cloud Storage dalla VM

Dopo aver configurato la VM in modo che utilizzi un service account con il ruolo storage.admin, puoi utilizzare strumenti come gcloud CLI per gestire i file archiviati su Cloud Storage. Per accedere alle tue risorse Cloud Storage:

  1. Assicurati che il service account collegato alla VM abbia il ruolo roles/storage.admin.

  2. Se la VM utilizza un'immagine sistema operativo personalizzata, installa gcloud CLI. Per impostazione predefinita, gcloud CLI è installato sulla maggior parte delle immagini sistema operativo pubbliche fornite da Trusted Cloud by S3NS.

  3. Connettiti alla VM.

  4. Dalla VM, utilizza Google Cloud CLI per gestire le risorse di Cloud Storage.

Passaggi successivi