Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Esegui l'autenticazione in Compute Engine

Questo documento descrive come autenticarsi in Compute Engine in modo programmatico. La modalità di autenticazione in Compute Engine dipende dall'interfaccia che utilizzi per accedere all'API e dall'ambiente in cui viene eseguito il codice.

Se devi esaminare le diverse opzioni per autenticare le app e i workload in esecuzione su Compute Engine nell'API Trusted Cloud by S3NS , consulta Scegliere un metodo di autenticazione dei workload.

Per saperne di più sull'autenticazione di Trusted Cloud , consulta la sezione Metodi di autenticazione.

Accesso API

Compute Engine supporta l'accesso programmatico. Puoi accedere all'API nei seguenti modi:

Librerie client
Google Cloud CLI
REST

Librerie client

Le librerie client di Compute Engine forniscono il supporto di linguaggi di alto livello per l'autenticazione a Compute Engine in modo programmatico. Per autenticare le chiamate alle API Trusted Cloud by S3NS , le librerie client supportano le credenziali predefinite dell'applicazione (ADC); le librerie cercano le credenziali in un insieme di posizioni definite e le utilizzano per autenticare le richieste all'API. Con le credenziali predefinite dell'applicazione, puoi rendere disponibili le credenziali per la tua applicazione in una serie di ambienti, ad esempio sviluppo locale o produzione, senza dover modificare il codice dell'applicazione.

Google Cloud CLI

Quando utilizzi gcloud CLI per accedere a Compute Engine, accedi a gcloud CLI con un account utente, che fornisce le credenziali utilizzate dai comandi gcloud CLI.

Se i criteri di sicurezza della tua organizzazione impediscono agli account utente di disporre delle autorizzazioni richieste, puoi utilizzare l'impersonificazione del service account.

Per maggiori informazioni, consulta Autenticarsi per utilizzare gcloud CLI. Per saperne di più sull'utilizzo di gcloud CLI con Compute Engine, consulta le pagine di riferimento di gcloud CLI.

REST

Puoi autenticarti nell'API Compute Engine utilizzando le credenziali gcloud CLI o le credenziali predefinite dell'applicazione. Per saperne di più sull'autenticazione per le richieste REST, consulta Autenticarsi per l'utilizzo di REST. Per informazioni sui tipi di credenziali, consulta Credenziali dell'interfaccia a riga di comando gcloud e credenziali ADC.

Configura l'autenticazione per Compute Engine

La configurazione dell'autenticazione dipende dall'ambiente in cui viene eseguito il codice.

Le seguenti opzioni per la configurazione dell'autenticazione sono le più utilizzate. Per ulteriori opzioni e informazioni sull'autenticazione, vedi Metodi di autenticazione.

Per un ambiente di sviluppo locale

Puoi configurare le credenziali per un ambiente di sviluppo locale nei seguenti modi:

Credenziali utente per librerie client o strumenti di terze parti
Credenziali utente per le richieste REST dalla riga di comando
Simulazione dell'identità dei service account

Librerie client o strumenti di terze parti

Configura le credenziali predefinite dell'applicazione (ADC) nel tuo ambiente locale:

Install the Google Cloud CLI, and then sign in to the gcloud CLI with your federated identity. After signing in, initialize the Google Cloud CLI by running the following command:
```
gcloud init
```
Create local authentication credentials for your user account:
```
gcloud auth application-default login
```
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

Viene visualizzata una schermata di accesso. Dopo l'accesso, le tue credenziali vengono archiviate nel file delle credenziali locali utilizzato da ADC.

Per ulteriori informazioni sull'utilizzo di ADC in un ambiente locale, vedi Configurare ADC per un ambiente di sviluppo locale.

Richieste REST dalla riga di comando

Quando effettui una richiesta REST dalla riga di comando, puoi utilizzare le credenziali gcloud CLI includendo gcloud auth print-access-token come parte del comando che invia la richiesta.

L'esempio seguente elenca i service account per il progetto specificato. Puoi utilizzare lo stesso pattern per qualsiasi richiesta REST.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

PROJECT_ID: il tuo ID progetto Trusted Cloud .

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts" | Select-Object -Expand Content

Per saperne di più sull'autenticazione tramite REST e gRPC, consulta Autenticarsi per l'utilizzo di REST. Per informazioni sulla differenza tra le credenziali ADC locali e le credenziali dell'interfaccia alla gcloud CLI, consulta Configurazione dell'autenticazione dell'interfaccia a riga di comando gcloud e configurazione ADC.

Simulazione dell'identità dei service account

Nella maggior parte dei casi, puoi utilizzare le tue credenziali utente per l'autenticazione da un ambiente di sviluppo locale. Se non è fattibile o se devi testare le autorizzazioni assegnate a un account di servizio, puoi utilizzare la rappresentazione del account di servizio. Devi disporre dell'autorizzazione iam.serviceAccounts.getAccessToken, inclusa nel ruolo IAM Creatore token account di servizio (roles/iam.serviceAccountTokenCreator).

Puoi configurare gcloud CLI per utilizzare l'impersonificazione del account di servizio utilizzando il comando gcloud config set:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Per alcune lingue, puoi utilizzare l'imitazione dell'account di servizio per creare un file ADC locale da utilizzare con le librerie client. Questo approccio è supportato solo per le librerie client Go, Java, Node.js e Python, non per gli altri linguaggi. Per configurare un file ADC locale con la rappresentazione dell'account di servizio, utilizza il flag --impersonate-service-account con il comando gcloud auth application-default login:

gcloud auth application-default login --impersonate-service-account=SERVICE_ACCT_EMAIL

Per ulteriori informazioni sulla rappresentazione dell'account di servizio, consulta Utilizzare la rappresentazione dell'account di servizio.

Il giorno Trusted Cloud by S3NS

Per autenticare un carico di lavoro in esecuzione su Trusted Cloud, utilizzi le credenziali del account di servizio collegato alla risorsa di calcolo in cui viene eseguito il codice, ad esempio una istanza di macchina virtuale (VM) Compute Engine. Questo approccio è il metodo di autenticazione preferito per il codice in esecuzione su una risorsa di calcolo Trusted Cloud .

Per la maggior parte dei servizi, devi collegare il account di servizio quando crei la risorsa che eseguirà il codice. Non puoi aggiungere o sostituire il account di servizio in un secondo momento. Compute Engine è un'eccezione: ti consente di collegare un service account a un'istanza VM in qualsiasi momento.

Utilizza gcloud CLI per creare un account di servizio e collegarlo alla tua risorsa:

Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata. Dopo aver eseguito l'accesso, inizializza Google Cloud CLI eseguendo il seguente comando:
```
gcloud init
```
Set up authentication:
1. Create the service account:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Replace SERVICE_ACCOUNT_NAME with a name for the service account.
2. To provide access to your project and your resources, grant a role to the service account:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com" --role=ROLE
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account
  - PROJECT_ID: the project ID where you created the service account
  - ROLE: the role to grant
  Note: The --role flag affects which resources the service account can access in your project. You can revoke these roles or grant additional roles later. In production environments, do not grant the Owner, Editor, or Viewer roles. Instead, grant a predefined role or custom role that meets your needs.
3. To grant another role to the service account, run the command as you did in the previous step.
4. Grant the required role to the principal that will attach the service account to other resources.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com --member="principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ID" --role=roles/iam.serviceAccountUser
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account.
  - PROJECT_ID: the project ID where you created the service account.
  - POOL_ID: a workforce identity pool ID.
  - SUBJECT_ID: a subject ID; typically the identifier for a user in a workforce identity pool. For details, see Represent workforce pool users in IAM policies.
Crea la risorsa che eseguirà il tuo codice e collega il account di servizio a questa risorsa. Ad esempio, se utilizzi Compute Engine:
Create a Compute Engine instance. Configure the instance as follows:
- Sostituisci INSTANCE_NAME con il nome dell'istanza che preferisci.
- Imposta il flag --zone sulla zona in cui vuoi creare l'istanza.
- Imposta il flag --service-account sull'indirizzo email del account di servizio che hai creato.

Per saperne di più sull'autenticazione alle API di Google, vedi Metodi di autenticazione.

On-premise o su un altro provider cloud

Il metodo preferito per configurare l'autenticazione dall'esterno di Trusted Cloud è utilizzare la federazione delle identità per i carichi di lavoro. Per saperne di più, consulta Configura ADC per on-premise o un altro provider cloud nella documentazione sull'autenticazione.

Controllo dell'accesso per Compute Engine

Dopo l'autenticazione a Compute Engine, devi essere autorizzato ad accedere alle risorse Trusted Cloud . Compute Engine utilizza Identity and Access Management (IAM) per l'autorizzazione.

Per saperne di più sui ruoli per Compute Engine, consulta Ruoli e autorizzazioni IAM di Compute Engine . Per ulteriori informazioni su IAM e sull'autorizzazione, consulta la panoramica di IAM.

Passaggi successivi

Per le app e i carichi di lavoro in esecuzione su Compute Engine, esamina i metodi di autenticazione dei workload.
Scopri di più sui metodi di autenticazione.Trusted Cloud
Consulta un elenco di casi d'uso dell'autenticazione.