Questa pagina spiega come creare credenziali di breve durata per un account di servizio, che puoi utilizzare per impersonare il service account. A seconda del tipo di token che crei, il token di breve durata fornisce l'identità (per i token ID) o le autorizzazioni (per i token di accesso) associate al service account.
Se l'architettura del tuo sistema richiede l'utilizzo di una serie di chiamate di generazione di token, puoi utilizzare una catena di delega costituita da più service account. Nella maggior parte dei casi, il metodo diretto, come spiegato in questa pagina, è sufficiente.
Prima di iniziare
-
Enable the IAM and Service Account Credentials APIs:
gcloud services enable iam.googleapis.com
iamcredentials.googleapis.com Configurare l'autenticazione.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.
gcloud
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata. Dopo aver eseguito l'accesso, inizializza Google Cloud CLI eseguendo il seguente comando:
gcloud init
Vai
Per utilizzare gli esempi di Go questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Trusted Cloud .
Java
Per utilizzare gli esempi di Java questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Trusted Cloud .
Node.js
Per utilizzare gli esempi di Node.js questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Trusted Cloud .
Python
Per utilizzare gli esempi di Python questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Trusted Cloud .
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, devi utilizzare le credenziali che fornisci a gcloud CLI.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Per saperne di più, consulta Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Trusted Cloud .
Informazioni sugli service account IAM.
Informazioni sulla rappresentazione del service account.
Scopri di che tipo di token hai bisogno e segui i passaggi appropriati forniti nelle sezioni seguenti:
Crea un token di accesso di breve durata
I token di accesso sono accettati per l'autenticazione dalla maggior parte delle API di Google. Quando generi un token di accesso utilizzando la rappresentazione delaccount di serviziot, il token di accesso non include un token di aggiornamento, il che significa che quando il token scade, devi ripetere la procedura di rappresentazione per generarne uno nuovo.
Per maggiori informazioni, vedi Token di accesso.
Per creare un token di accesso di breve durata, completa queste attività:
Fornire le autorizzazioni richieste
Una richiesta diretta coinvolge due identità: il chiamante che richiede la credenziale e ilaccount di serviziot per cui viene creata la credenziale. La configurazione delle autorizzazioni dipende dal fatto che il chiamante esegua l'autenticazione comeaccount di serviziot o come account utente.
Se vuoi eseguire un comando REST o gcloud CLI in questa pagina in un ambiente di sviluppo locale, il chiamante può essere rappresentato dalle credenziali utente. Per i workload automatizzati, ad esempio un'applicazione in esecuzione su Compute Engine, il chiamante deve essere rappresentato da un account di servizio.
Service account
Quando l'applicazione chiamante utilizza un account di servizio come identità, sono coinvolti i seguenti principal:
Account di servizio del chiamante (
CALLER_SA
)Questo account di servizio rappresenta l'applicazione chiamante, che emette la richiesta di credenziali di breve durata.
-
Account di servizio con privilegi (
PRIV_SA
)A questo account di servizio vengono concessi i ruoli IAM necessari per il token di breve durata. Questo è il account di servizio per cui viene creato il token di breve durata.
Per concedere a
CALLER_SA
le autorizzazioni per creare credenziali di breve durata perPRIV_SA
, concedi aCALLER_SA
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
) suPRIV_SA
.Concedi il ruolo richiesto su
PRIV_SA
:Console
-
Nella console Trusted Cloud , vai alla pagina Service Accounts.
- Seleziona un progetto.
-
Fai clic sull'indirizzo email del account di servizio con privilegi,
PRIV_SA
. - Fai clic sulla scheda Autorizzazioni.
- In Entità con accesso a questo service account, fai clic su Concedi accesso.
-
Inserisci l'indirizzo email del account di servizio del chiamante,
CALLER_SA
.Ad esempio,
demo@my-project.s3ns-system.iam.gserviceaccount.com
. -
Seleziona il ruolo Creatore token account di servizio
(
roles/iam.serviceAccountTokenCreator
). - Fai clic su Salva per concedere il ruolo al account di servizio.
gcloud
Il comando
gcloud iam service-accounts add-iam-policy-binding
concede un ruolo su un account di servizio.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per cui viene generato il token. -
CALLER_SA
: l'indirizzo email del account di servizio che rappresenta l'applicazione che richiede il token di breve durata.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud iam service-accounts add-iam-policy-binding PRIV_SA \ --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (PowerShell)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ` --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (cmd.exe)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^ --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for serviceAccount [PRIV_SA]. { "bindings": [ { "members": [ "serviceAccount:CALLER_SA" ], "role": "roles/iam.serviceAccountTokenCreator" } ], "etag": "BwXhCB4eyjY=", "version": 1 }
REST
-
Leggi la policy di autorizzazione per
PRIV_SA
:Il metodo
serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
Se non hai concesso ruoli al account di servizio, la risposta contiene solo un valore
etag
. Includi questo valore dietag
nel passaggio successivo. -
Modifica il criterio di autorizzazione per concedere a
CALLER_SA
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
).Ad esempio, per modificare la risposta di esempio del passaggio precedente, aggiungi quanto segue:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:CALLER_SA" ] } ] }
-
Scrivi la policy di autorizzazione aggiornata:
Il metodo
serviceAccounts.setIamPolicy
imposta un criterio di autorizzazione aggiornato per il account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.-
POLICY
: una rappresentazione JSON della policy che vuoi impostare. Per ulteriori informazioni sul formato di una policy, consulta la documentazione di riferimento delle policy.Ad esempio, per impostare il criterio di autorizzazione mostrato nel passaggio precedente, sostituisci
POLICY
con quanto segue, doveCALLER_SA
è l'account di servizio che crea il token di breve durata:{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:CALLER_SA" ] } ] }
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene la policy di autorizzazione aggiornata.
Credenziali utente
Quando vuoi utilizzare Google Cloud CLI per generare token di breve durata o vuoi generare token di breve durata da un ambiente di sviluppo locale, puoi utilizzare un account utente per generare i token. Spesso puoi utilizzare il tuo account utente.
Quando utilizzi un account utente per generare token di breve durata, sono coinvolte le seguenti identità:
Account del chiamante (
CALLER_ACCOUNT
)Questo account utente viene utilizzato per generare credenziali di breve durata per l'account di servizio con privilegi.
Account di servizio con privilegi (
PRIV_SA
)A questo account di servizio vengono concessi i ruoli IAM necessari per il token di breve durata. Questo è il account di servizio per cui viene creato il token di breve durata.
Per consentire a
CALLER_ACCOUNT
di creare credenziali di breve durata perPRIV_SA
, concedi aCALLER_ACCOUNT
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
) suPRIV_SA
.Concedi il ruolo richiesto su
PRIV_SA
:Console
-
Nella console Trusted Cloud , vai alla pagina Service Accounts.
- Seleziona un progetto.
-
Fai clic sull'indirizzo email del account di servizio con privilegi,
PRIV_SA
. - Fai clic sulla scheda Autorizzazioni.
- In Entità con accesso a questo service account, fai clic su Concedi accesso.
-
Inserisci l'identificatore dell'entità dell'account chiamante,
CALLER_ACCOUNT
.Ad esempio,
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com
. -
Seleziona il ruolo Creatore token account di servizio
(
roles/iam.serviceAccountTokenCreator
). - Fai clic su Salva per concedere il ruolo all'account utente.
gcloud
Il comando
gcloud iam service-accounts add-iam-policy-binding
concede un ruolo su un account di servizio.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per cui viene generato il token. -
CALLER_ACCOUNT
: l'indirizzo email dell'account utente utilizzato per richiedere il token di breve durata.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud iam service-accounts add-iam-policy-binding PRIV_SA \ --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (PowerShell)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ` --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (cmd.exe)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^ --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for serviceAccount [PRIV_SA]. { "bindings": [ { "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ], "role": "roles/iam.serviceAccountTokenCreator" } ], "etag": "BwX1ZbefjXU=", "version": 1 }
REST
-
Leggi la policy di autorizzazione per
PRIV_SA
:Il metodo
serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
Se non hai concesso ruoli al account di servizio, la risposta contiene solo un valore
etag
. Includi questo valore dietag
nel passaggio successivo. -
Modifica il criterio di autorizzazione per concedere a
CALLER_ACCOUNT
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
).Ad esempio, per modificare la risposta di esempio del passaggio precedente, aggiungi quanto segue:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
-
Scrivi la policy di autorizzazione aggiornata:
Il metodo
serviceAccounts.setIamPolicy
imposta un criterio di autorizzazione aggiornato per il account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.-
POLICY
: una rappresentazione JSON della policy che vuoi impostare. Per ulteriori informazioni sul formato di una policy, consulta la documentazione di riferimento delle policy.Ad esempio, per impostare il criterio di autorizzazione mostrato nel passaggio precedente, sostituisci
POLICY
con quanto segue, doveCALLER_ACCOUNT
è l'account utente che crea il token temporaneo:{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "CALLER_ACCOUNT" ] } ] }
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene la policy di autorizzazione aggiornata.
Genera il token di accesso
Puoi generare un token di accesso OAuth 2.0 utilizzando gcloud CLI, l'API REST o le librerie client di Cloud e le librerie client dell'API di Google.
Se utilizzi l'API REST e il tuo sistema è configurato per consentire durate dei token estese, puoi creare un token con una durata superiore a quella predefinita. Google Cloud CLI non supporta l'impostazione di una durata per il token.
Gli esempi riportati di seguito sono progettati per essere utilizzati in un ambiente di sviluppo locale; il chiamante deve essere rappresentato da un account utente, anziché da un account di servizio.
Genera un token di accesso OAuth 2.0 per un account di servizio:
gcloud
Assicurati di aver eseguito l'accesso a gcloud CLI con l'account utente chiamante.
Genera un token per il account di servizio utilizzando il comando
gcloud auth print-access-token
.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud auth print-access-token --impersonate-service-account=PRIV_SA
Windows (PowerShell)
gcloud auth print-access-token --impersonate-service-account=PRIV_SA
Windows (cmd.exe)
gcloud auth print-access-token --impersonate-service-account=PRIV_SA
Dovresti ricevere una risposta simile alla seguente:
WARNING: This command is using service account impersonation. All API calls will be executed as [my-sa@my-project.s3ns-system.iam.gserviceaccount.com]. ya29.c.b0AXv0zTPnzTnDV8F8Aj5Fgy46Yf2v_v8eZIoKq7xGpfbpXuy23aQ1693m3gAuE8AZga7w6kdagN7a9bfdDYbdeoGY0CMHOClsCwIdutL7k_RFC672lOCbUgF5hS8Iu2nCA8hle-11LJXBLmaxFmH08ZTBJLuDrWSNd8cYqGYFunSC1K1qLIPBF18tsa0hxVgKPucI8b1A9L8_MK1JGLGcr0n7-zY77_lmbcdODG3NmIbLOGWOutjJgqSO_YoeCKK2QTUZIp5PG7RkKlXWnmYJA9pEahzNoQrs5sWZctc2bia9af_ITzqqlXC9h1Kj5-me6e8rd734MJvpagqYazRk0gGWpMb03XmMGpgPc_FBp4pnX9rGOzW83SNpcDz8zeFO1Q0Bo3N7CuZougjRce0y8I2_4rtw5ME_nV3wrCWa..................................................................................................................................................................................................................................................................................................
-
REST
Il metodo
serviceAccounts.generateAccessToken
dell'API Service Account Credentials genera un token di accesso OAuth 2.0 per un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. -
LIFETIME
: il tempo che manca alla scadenza del token di accesso, in secondi. Ad esempio,300s
.Per impostazione predefinita, la durata massima del token è di 1 ora (3600 secondi). Per estendere la durata massima di questi token a 12 ore (43.200 secondi), aggiungi il account di servizio a un criterio dell'organizzazione che includa il vincolo dell'elenco
constraints/iam.allowServiceAccountCredentialLifetimeExtension
.
Metodo HTTP e URL:
POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:generateAccessToken
Corpo JSON della richiesta:
{ "scope": [ "https://www.googleapis.com/auth/cloud-platform" ], "lifetime": "LIFETIME" }
Per inviare la richiesta, espandi una di queste opzioni:
Se la richiesta
generateAccessToken
è andata a buon fine, il corpo della risposta contiene un token di accesso OAuth 2.0 e un tempo di scadenza.accessToken
può quindi essere utilizzato per autenticare una richiesta per conto delaccount di serviziot fino al raggiungimento diexpireTime
:{ "accessToken": "eyJ0eXAi...NiJ9", "expireTime": "2020-04-07T15:01:23.045123456Z" }
Vai
Java
Node.js
Python
Crea un token ID OpenID Connect (OIDC)
I token ID seguono la specifica OpenID Connect (OIDC). I token ID sono accettati da un numero limitato di servizi e applicazioni.
Per ulteriori informazioni, consulta la sezione Token ID.
Per creare un token ID, completa queste attività:
Fornisci le autorizzazioni richieste al chiamante.
Utilizza il ruolo Service Account OpenID Connect Identity Token Creator (
roles/iam.serviceAccountOpenIdTokenCreator
) per creare un token ID. Si tratta di un ruolo diverso da quello utilizzato per altri tipi di token.
Fornire le autorizzazioni richieste
Una richiesta diretta coinvolge due identità: il chiamante che richiede la credenziale e ilaccount di serviziot per cui viene creata la credenziale. La configurazione delle autorizzazioni dipende dal fatto che il chiamante esegua l'autenticazione comeaccount di serviziot o come account utente.
Se vuoi eseguire un comando REST o gcloud CLI in questa pagina in un ambiente di sviluppo locale, il chiamante può essere rappresentato dalle credenziali utente. Per i workload automatizzati, ad esempio un'applicazione in esecuzione su Compute Engine, il chiamante deve essere rappresentato da un account di servizio.
Service account
Quando l'applicazione chiamante utilizza un account di servizio come identità, sono coinvolti i seguenti principal:
Account di servizio del chiamante (
CALLER_SA
)Questo account di servizio rappresenta l'applicazione chiamante, che emette la richiesta di credenziali di breve durata.
-
Account di servizio con privilegi (
PRIV_SA
)A questo account di servizio vengono concessi i ruoli IAM necessari per il token di breve durata. Questo è il account di servizio per cui viene creato il token di breve durata.
Per concedere a
CALLER_SA
le autorizzazioni per creare credenziali di breve durata perPRIV_SA
, concedi aCALLER_SA
il ruolo Service Account OpenID Connect Identity Token Creator (roles/iam.serviceAccountOpenIdTokenCreator
) suPRIV_SA
.Concedi il ruolo richiesto su
PRIV_SA
:Console
-
Nella console Trusted Cloud , vai alla pagina Service Accounts.
- Seleziona un progetto.
-
Fai clic sull'indirizzo email del account di servizio con privilegi,
PRIV_SA
. - Fai clic sulla scheda Autorizzazioni.
- In Entità con accesso a questo service account, fai clic su Concedi accesso.
-
Inserisci l'indirizzo email del account di servizio del chiamante,
CALLER_SA
.Ad esempio,
demo@my-project.s3ns-system.iam.gserviceaccount.com
. -
Seleziona il ruolo Service Account OpenID Connect Identity Token Creator
(
roles/iam.serviceAccountOpenIdTokenCreator
). - Fai clic su Salva per concedere il ruolo al account di servizio.
gcloud
Il comando
gcloud iam service-accounts add-iam-policy-binding
concede un ruolo su un account di servizio.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per cui viene generato il token. -
CALLER_SA
: l'indirizzo email del account di servizio che rappresenta l'applicazione che richiede il token di breve durata.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud iam service-accounts add-iam-policy-binding PRIV_SA \ --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json
Windows (PowerShell)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ` --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json
Windows (cmd.exe)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^ --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for serviceAccount [PRIV_SA]. { "bindings": [ { "members": [ "serviceAccount:CALLER_SA" ], "role": "roles/iam.serviceAccountOpenIdTokenCreator" } ], "etag": "BwXhCB4eyjY=", "version": 1 }
REST
-
Leggi la policy di autorizzazione per
PRIV_SA
:Il metodo
serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
Se non hai concesso ruoli al account di servizio, la risposta contiene solo un valore
etag
. Includi questo valore dietag
nel passaggio successivo. -
Modifica il criterio di autorizzazione per concedere a
CALLER_SA
il ruolo Creatore token di identità OpenID Connect per account di servizio (roles/iam.serviceAccountOpenIdTokenCreator
).Ad esempio, per modificare la risposta di esempio del passaggio precedente, aggiungi quanto segue:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountOpenIdTokenCreator", "members": [ "serviceAccount:CALLER_SA" ] } ] }
-
Scrivi la policy di autorizzazione aggiornata:
Il metodo
serviceAccounts.setIamPolicy
imposta un criterio di autorizzazione aggiornato per il account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.-
POLICY
: una rappresentazione JSON della policy che vuoi impostare. Per ulteriori informazioni sul formato di una policy, consulta la documentazione di riferimento delle policy.Ad esempio, per impostare il criterio di autorizzazione mostrato nel passaggio precedente, sostituisci
POLICY
con quanto segue, doveCALLER_SA
è l'account di servizio che crea il token di breve durata:{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountOpenIdTokenCreator", "members": [ "serviceAccount:CALLER_SA" ] } ] }
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene la policy di autorizzazione aggiornata.
Credenziali utente
Quando vuoi utilizzare Google Cloud CLI per generare token di breve durata o vuoi generare token di breve durata da un ambiente di sviluppo locale, puoi utilizzare un account utente per generare i token. Spesso puoi utilizzare il tuo account utente.
Quando utilizzi un account utente per generare token di breve durata, sono coinvolte le seguenti identità:
Account del chiamante (
CALLER_ACCOUNT
)Questo account utente viene utilizzato per generare credenziali di breve durata per l'account di servizio con privilegi.
Account di servizio con privilegi (
PRIV_SA
)A questo account di servizio vengono concessi i ruoli IAM necessari per il token di breve durata. Questo è il account di servizio per cui viene creato il token di breve durata.
Per consentire a
CALLER_ACCOUNT
di creare credenziali di breve durata perPRIV_SA
, concedi aCALLER_ACCOUNT
il ruolo Service Account OpenID Connect Identity Token Creator (roles/iam.serviceAccountOpenIdTokenCreator
) suPRIV_SA
.Concedi il ruolo richiesto su
PRIV_SA
:Console
-
Nella console Trusted Cloud , vai alla pagina Service Accounts.
- Seleziona un progetto.
-
Fai clic sull'indirizzo email del account di servizio con privilegi,
PRIV_SA
. - Fai clic sulla scheda Autorizzazioni.
- In Entità con accesso a questo service account, fai clic su Concedi accesso.
-
Inserisci l'identificatore dell'entità dell'account chiamante,
CALLER_ACCOUNT
.Ad esempio,
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com
. -
Seleziona il ruolo Service Account OpenID Connect Identity Token Creator
(
roles/iam.serviceAccountOpenIdTokenCreator
). - Fai clic su Salva per concedere il ruolo all'account utente.
gcloud
Il comando
gcloud iam service-accounts add-iam-policy-binding
concede un ruolo su un account di servizio.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per cui viene generato il token. -
CALLER_ACCOUNT
: l'indirizzo email dell'account utente utilizzato per richiedere il token di breve durata.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud iam service-accounts add-iam-policy-binding PRIV_SA \ --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json
Windows (PowerShell)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ` --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json
Windows (cmd.exe)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^ --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for serviceAccount [PRIV_SA]. { "bindings": [ { "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ], "role": "roles/iam.serviceAccountOpenIdTokenCreator" } ], "etag": "BwX1ZbefjXU=", "version": 1 }
REST
-
Leggi la policy di autorizzazione per
PRIV_SA
:Il metodo
serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
Se non hai concesso ruoli al account di servizio, la risposta contiene solo un valore
etag
. Includi questo valore dietag
nel passaggio successivo. -
Modifica il criterio di autorizzazione per concedere
CALLER_ACCOUNT
il ruolo Creatore token di identità OpenID Connect per account di servizio (roles/iam.serviceAccountOpenIdTokenCreator
).Ad esempio, per modificare la risposta di esempio del passaggio precedente, aggiungi quanto segue:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountOpenIdTokenCreator", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
-
Scrivi la policy di autorizzazione aggiornata:
Il metodo
serviceAccounts.setIamPolicy
imposta un criterio di autorizzazione aggiornato per il account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.-
POLICY
: una rappresentazione JSON della policy che vuoi impostare. Per ulteriori informazioni sul formato di una policy, consulta la documentazione di riferimento delle policy.Ad esempio, per impostare il criterio di autorizzazione mostrato nel passaggio precedente, sostituisci
POLICY
con quanto segue, doveCALLER_ACCOUNT
è l'account utente che crea il token temporaneo:{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountOpenIdTokenCreator", "members": [ "CALLER_ACCOUNT" ] } ] }
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene la policy di autorizzazione aggiornata.
Genera il token ID
Puoi generare un token ID OpenID Connect (OIDC) utilizzando gcloud CLI, l'API REST o le librerie client di Cloud e le librerie client dell'API di Google.
Gli esempi riportati di seguito sono progettati per essere utilizzati in un ambiente di sviluppo locale; il chiamante deve essere rappresentato da un account utente, anziché da un account di servizio.
I token ID OIDC sono validi per 1 ora (3600 secondi).
Genera un token ID OIDC firmato da Google per un account di servizio:
gcloud
Assicurati di aver eseguito l'accesso a gcloud CLI con l'account utente chiamante.
Genera un token per il account di servizio utilizzando il comando
gcloud auth print-identity-token
.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. -
AUDIENCE_NAME
: Il pubblico del token, in genere l'URL dell'applicazione o del servizio a cui verrà utilizzato per accedere.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud auth print-identity-token --impersonate-service-account=PRIV_SA --audiences="AUDIENCE_NAME"
Windows (PowerShell)
gcloud auth print-identity-token --impersonate-service-account=PRIV_SA --audiences="AUDIENCE_NAME"
Windows (cmd.exe)
gcloud auth print-identity-token --impersonate-service-account=PRIV_SA --audiences="AUDIENCE_NAME"
Dovresti ricevere una risposta simile alla seguente:
WARNING: This command is using service account impersonation. All API calls will be executed as [my-sa@my-project.s3ns-system.iam.gserviceaccount.com]. eyJhbGciOiJSUzI1NiIsImtpZDNhMDg4ZDRmZmMjJkYTVmZTM5MDZjY2MiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJ3d3cuZXhhbXBsJhenAiOiIxMTYzwNDYyMDk0ODIiLCJleHAiOjE2NTQ4ODU0MzEsImlhdCI6MTY1NDg4MTgzMSwiaXN6Ly9hY2NvdW50cy5nb29nbGUuY29tIiwic3ViIMDQ2MjA5NDgyIn0.F7mu8IHj5VQdu7ItFrnYAKyGd7YqXuOP_rFLc98q8BaFBycAF1zAQnSnwqnSUXba0UK9PDT_-IOry68qLwBObz4XlX9lk0ehpN0O0W9FcFToKLB6wefXXPd4h7xtuPe5KzmpSOqj2Qqv34HriGw00Nqd-oGSgNY_lZ4wGEf4rT4oQa_kEcrY57Q2G6pwd769BhgeFwoLi5aK_Cv2kvf_zfMszC-xlkP9zwWQ8XinJBwe-qcQBa4NTgrbueNtXsEjccBS366zmw
-
REST
Il metodo
serviceAccounts.generateIdToken
dell'API Service Account Credentials genera un token ID OIDC per un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. -
AUDIENCE_NAME
: Il pubblico del token, in genere l'URL dell'applicazione o del servizio a cui verrà utilizzato per accedere.
Metodo HTTP e URL:
POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:generateIdToken
Corpo JSON della richiesta:
{ "audience": "AUDIENCE_NAME", "includeEmail": "true" }
Per inviare la richiesta, espandi una di queste opzioni:
Se la richiesta
generateId
è andata a buon fine, il corpo della risposta contiene un token ID valido per 1 ora. Iltoken
può quindi essere utilizzato per autenticare una richiesta per conto del account di servizio:{ "token": "eyJ0eXAi...NiJ9" }
Crea un token web JSON (JWT) autofirmato
I token web JSON (JWT) autofirmati sono utili in una serie di scenari:
- Comunicare in modo sicuro tra le tue applicazioni. In questo scenario, un'applicazione può firmare un token che può essere verificato da un'altra applicazione a fini di autenticazione.
- Trattare un account di servizio come un provider di identità firmando un JWT che contiene rivendicazioni arbitrarie su un utente, un account o un dispositivo.
Per creare un JWT, completa queste attività:
Fornire le autorizzazioni richieste
Una richiesta diretta coinvolge due identità: il chiamante che richiede la credenziale e ilaccount di serviziot per cui viene creata la credenziale. La configurazione delle autorizzazioni dipende dal fatto che il chiamante esegua l'autenticazione comeaccount di serviziot o come account utente.
Se vuoi eseguire un comando REST o gcloud CLI in questa pagina in un ambiente di sviluppo locale, il chiamante può essere rappresentato dalle credenziali utente. Per i workload automatizzati, ad esempio un'applicazione in esecuzione su Compute Engine, il chiamante deve essere rappresentato da un account di servizio.
Service account
Quando l'applicazione chiamante utilizza un account di servizio come identità, sono coinvolti i seguenti principal:
Account di servizio del chiamante (
CALLER_SA
)Questo account di servizio rappresenta l'applicazione chiamante, che emette la richiesta di credenziali di breve durata.
-
Account di servizio con privilegi (
PRIV_SA
)A questo account di servizio vengono concessi i ruoli IAM necessari per il token di breve durata. Questo è il account di servizio per cui viene creato il token di breve durata.
Per concedere a
CALLER_SA
le autorizzazioni per creare credenziali di breve durata perPRIV_SA
, concedi aCALLER_SA
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
) suPRIV_SA
.Concedi il ruolo richiesto su
PRIV_SA
:Console
-
Nella console Trusted Cloud , vai alla pagina Service Accounts.
- Seleziona un progetto.
-
Fai clic sull'indirizzo email del account di servizio con privilegi,
PRIV_SA
. - Fai clic sulla scheda Autorizzazioni.
- In Entità con accesso a questo service account, fai clic su Concedi accesso.
-
Inserisci l'indirizzo email del account di servizio del chiamante,
CALLER_SA
.Ad esempio,
demo@my-project.s3ns-system.iam.gserviceaccount.com
. -
Seleziona il ruolo Creatore token account di servizio
(
roles/iam.serviceAccountTokenCreator
). - Fai clic su Salva per concedere il ruolo al account di servizio.
gcloud
Il comando
gcloud iam service-accounts add-iam-policy-binding
concede un ruolo su un account di servizio.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per cui viene generato il token. -
CALLER_SA
: l'indirizzo email del account di servizio che rappresenta l'applicazione che richiede il token di breve durata.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud iam service-accounts add-iam-policy-binding PRIV_SA \ --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (PowerShell)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ` --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (cmd.exe)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^ --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for serviceAccount [PRIV_SA]. { "bindings": [ { "members": [ "serviceAccount:CALLER_SA" ], "role": "roles/iam.serviceAccountTokenCreator" } ], "etag": "BwXhCB4eyjY=", "version": 1 }
REST
-
Leggi la policy di autorizzazione per
PRIV_SA
:Il metodo
serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
Se non hai concesso ruoli al account di servizio, la risposta contiene solo un valore
etag
. Includi questo valore dietag
nel passaggio successivo. -
Modifica il criterio di autorizzazione per concedere a
CALLER_SA
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
).Ad esempio, per modificare la risposta di esempio del passaggio precedente, aggiungi quanto segue:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:CALLER_SA" ] } ] }
-
Scrivi la policy di autorizzazione aggiornata:
Il metodo
serviceAccounts.setIamPolicy
imposta un criterio di autorizzazione aggiornato per il account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.-
POLICY
: una rappresentazione JSON della policy che vuoi impostare. Per ulteriori informazioni sul formato di una policy, consulta la documentazione di riferimento delle policy.Ad esempio, per impostare il criterio di autorizzazione mostrato nel passaggio precedente, sostituisci
POLICY
con quanto segue, doveCALLER_SA
è l'account di servizio che crea il token di breve durata:{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:CALLER_SA" ] } ] }
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene la policy di autorizzazione aggiornata.
Credenziali utente
Quando vuoi utilizzare Google Cloud CLI per generare token di breve durata o vuoi generare token di breve durata da un ambiente di sviluppo locale, puoi utilizzare un account utente per generare i token. Spesso puoi utilizzare il tuo account utente.
Quando utilizzi un account utente per generare token di breve durata, sono coinvolte le seguenti identità:
Account del chiamante (
CALLER_ACCOUNT
)Questo account utente viene utilizzato per generare credenziali di breve durata per l'account di servizio con privilegi.
Account di servizio con privilegi (
PRIV_SA
)A questo account di servizio vengono concessi i ruoli IAM necessari per il token di breve durata. Questo è il account di servizio per cui viene creato il token di breve durata.
Per consentire a
CALLER_ACCOUNT
di creare credenziali di breve durata perPRIV_SA
, concedi aCALLER_ACCOUNT
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
) suPRIV_SA
.Concedi il ruolo richiesto su
PRIV_SA
:Console
-
Nella console Trusted Cloud , vai alla pagina Service Accounts.
- Seleziona un progetto.
-
Fai clic sull'indirizzo email del account di servizio con privilegi,
PRIV_SA
. - Fai clic sulla scheda Autorizzazioni.
- In Entità con accesso a questo service account, fai clic su Concedi accesso.
-
Inserisci l'identificatore dell'entità dell'account chiamante,
CALLER_ACCOUNT
.Ad esempio,
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com
. -
Seleziona il ruolo Creatore token account di servizio
(
roles/iam.serviceAccountTokenCreator
). - Fai clic su Salva per concedere il ruolo all'account utente.
gcloud
Il comando
gcloud iam service-accounts add-iam-policy-binding
concede un ruolo su un account di servizio.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per cui viene generato il token. -
CALLER_ACCOUNT
: l'indirizzo email dell'account utente utilizzato per richiedere il token di breve durata.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud iam service-accounts add-iam-policy-binding PRIV_SA \ --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (PowerShell)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ` --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (cmd.exe)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^ --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for serviceAccount [PRIV_SA]. { "bindings": [ { "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ], "role": "roles/iam.serviceAccountTokenCreator" } ], "etag": "BwX1ZbefjXU=", "version": 1 }
REST
-
Leggi la policy di autorizzazione per
PRIV_SA
:Il metodo
serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
Se non hai concesso ruoli al account di servizio, la risposta contiene solo un valore
etag
. Includi questo valore dietag
nel passaggio successivo. -
Modifica il criterio di autorizzazione per concedere a
CALLER_ACCOUNT
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
).Ad esempio, per modificare la risposta di esempio del passaggio precedente, aggiungi quanto segue:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
-
Scrivi la policy di autorizzazione aggiornata:
Il metodo
serviceAccounts.setIamPolicy
imposta un criterio di autorizzazione aggiornato per il account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.-
POLICY
: una rappresentazione JSON della policy che vuoi impostare. Per ulteriori informazioni sul formato di una policy, consulta la documentazione di riferimento delle policy.Ad esempio, per impostare il criterio di autorizzazione mostrato nel passaggio precedente, sostituisci
POLICY
con quanto segue, doveCALLER_ACCOUNT
è l'account utente che crea il token temporaneo:{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "CALLER_ACCOUNT" ] } ] }
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene la policy di autorizzazione aggiornata.
Genera il JWT
Genera un JWT autofirmato:
REST
Il metodo
serviceAccounts.signJwt
dell'API Service Account Credentials firma un JWT utilizzando la chiave privata gestita dal sistema di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. -
JWT_PAYLOAD
: il payload JWT da firmare, ovvero un oggetto JSON che contiene un insieme di attestazioni JWT. Includi le rivendicazioni necessarie per il caso d'uso che ti interessa e per soddisfare i requisiti di convalida per il servizio che stai chiamando. Se chiami un'API Google, consulta la guida all'autenticazione di Google per i requisiti delle rivendicazioni.L'attestazione
exp
(ora di scadenza) non deve essere successiva di più di 12 ore. Se chiami un'API Google, l'attestazioneexp
deve essere impostata non più di un'ora in futuro.Il seguente payload di esempio contiene rivendicazioni per chiamare un'API di Google, dove
EXP
è un timestamp intero che rappresenta l'ora di scadenza:{ \"iss\": \"PRIV_SA\", \"sub\": \"PRIV_SA\", \"aud\": \"https://firestore.googleapis.com/\", \"iat\": 1529350000, \"exp\": EXP }
Metodo HTTP e URL:
POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:signJwt
Corpo JSON della richiesta:
{ "payload": "JWT_PAYLOAD" }
Per inviare la richiesta, espandi una di queste opzioni:
Se la richiesta
signJwt
è andata a buon fine, il corpo della risposta contiene un JWT firmato e l'ID della chiave di firma utilizzata per firmare il JWT. Puoi utilizzare il valoresignedJwt
come token di autenticazione per autenticare direttamente una richiesta per conto delaccount di serviziot. Il token è valido fino all'ora di scadenza specificata nella richiesta:{ "keyId": "42ba1e...fc0a", "signedJwt": "eyJ0eXAi...NiJ9" }
Crea un oggetto binario (blob) autofirmato
Gli oggetti binari autofirmati, o blob, vengono utilizzati per trasmettere dati binari in modo che l'origine dei dati sia nota (perché il blob è autofirmato). I blob possono essere utilizzati per creare firme, un oggetto Cloud Storage necessario per vari flussi di autenticazione, inclusi gli URL firmati. Per informazioni sulle firme, consulta la documentazione di Cloud Storage.
Per creare un oggetto binario autofirmato, completa queste attività:
Fornire le autorizzazioni richieste
Una richiesta diretta coinvolge due identità: il chiamante che richiede la credenziale e ilaccount di serviziot per cui viene creata la credenziale. La configurazione delle autorizzazioni dipende dal fatto che il chiamante esegua l'autenticazione comeaccount di serviziot o come account utente.
Se vuoi eseguire un comando REST o gcloud CLI in questa pagina in un ambiente di sviluppo locale, il chiamante può essere rappresentato dalle credenziali utente. Per i workload automatizzati, ad esempio un'applicazione in esecuzione su Compute Engine, il chiamante deve essere rappresentato da un account di servizio.
Service account
Quando l'applicazione chiamante utilizza un account di servizio come identità, sono coinvolti i seguenti principal:
Account di servizio del chiamante (
CALLER_SA
)Questo account di servizio rappresenta l'applicazione chiamante, che emette la richiesta di credenziali di breve durata.
-
Account di servizio con privilegi (
PRIV_SA
)A questo account di servizio vengono concessi i ruoli IAM necessari per il token di breve durata. Questo è il account di servizio per cui viene creato il token di breve durata.
Per concedere a
CALLER_SA
le autorizzazioni per creare credenziali di breve durata perPRIV_SA
, concedi aCALLER_SA
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
) suPRIV_SA
.Concedi il ruolo richiesto su
PRIV_SA
:Console
-
Nella console Trusted Cloud , vai alla pagina Service Accounts.
- Seleziona un progetto.
-
Fai clic sull'indirizzo email del account di servizio con privilegi,
PRIV_SA
. - Fai clic sulla scheda Autorizzazioni.
- In Entità con accesso a questo service account, fai clic su Concedi accesso.
-
Inserisci l'indirizzo email del account di servizio del chiamante,
CALLER_SA
.Ad esempio,
demo@my-project.s3ns-system.iam.gserviceaccount.com
. -
Seleziona il ruolo Creatore token account di servizio
(
roles/iam.serviceAccountTokenCreator
). - Fai clic su Salva per concedere il ruolo al account di servizio.
gcloud
Il comando
gcloud iam service-accounts add-iam-policy-binding
concede un ruolo su un account di servizio.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per cui viene generato il token. -
CALLER_SA
: l'indirizzo email del account di servizio che rappresenta l'applicazione che richiede il token di breve durata.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud iam service-accounts add-iam-policy-binding PRIV_SA \ --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (PowerShell)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ` --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (cmd.exe)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^ --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for serviceAccount [PRIV_SA]. { "bindings": [ { "members": [ "serviceAccount:CALLER_SA" ], "role": "roles/iam.serviceAccountTokenCreator" } ], "etag": "BwXhCB4eyjY=", "version": 1 }
REST
-
Leggi la policy di autorizzazione per
PRIV_SA
:Il metodo
serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
Se non hai concesso ruoli al account di servizio, la risposta contiene solo un valore
etag
. Includi questo valore dietag
nel passaggio successivo. -
Modifica il criterio di autorizzazione per concedere a
CALLER_SA
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
).Ad esempio, per modificare la risposta di esempio del passaggio precedente, aggiungi quanto segue:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:CALLER_SA" ] } ] }
-
Scrivi la policy di autorizzazione aggiornata:
Il metodo
serviceAccounts.setIamPolicy
imposta un criterio di autorizzazione aggiornato per il account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.-
POLICY
: una rappresentazione JSON della policy che vuoi impostare. Per ulteriori informazioni sul formato di una policy, consulta la documentazione di riferimento delle policy.Ad esempio, per impostare il criterio di autorizzazione mostrato nel passaggio precedente, sostituisci
POLICY
con quanto segue, doveCALLER_SA
è l'account di servizio che crea il token di breve durata:{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:CALLER_SA" ] } ] }
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene la policy di autorizzazione aggiornata.
Credenziali utente
Quando vuoi utilizzare Google Cloud CLI per generare token di breve durata o vuoi generare token di breve durata da un ambiente di sviluppo locale, puoi utilizzare un account utente per generare i token. Spesso puoi utilizzare il tuo account utente.
Quando utilizzi un account utente per generare token di breve durata, sono coinvolte le seguenti identità:
Account del chiamante (
CALLER_ACCOUNT
)Questo account utente viene utilizzato per generare credenziali di breve durata per l'account di servizio con privilegi.
Account di servizio con privilegi (
PRIV_SA
)A questo account di servizio vengono concessi i ruoli IAM necessari per il token di breve durata. Questo è il account di servizio per cui viene creato il token di breve durata.
Per consentire a
CALLER_ACCOUNT
di creare credenziali di breve durata perPRIV_SA
, concedi aCALLER_ACCOUNT
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
) suPRIV_SA
.Concedi il ruolo richiesto su
PRIV_SA
:Console
-
Nella console Trusted Cloud , vai alla pagina Service Accounts.
- Seleziona un progetto.
-
Fai clic sull'indirizzo email del account di servizio con privilegi,
PRIV_SA
. - Fai clic sulla scheda Autorizzazioni.
- In Entità con accesso a questo service account, fai clic su Concedi accesso.
-
Inserisci l'identificatore dell'entità dell'account chiamante,
CALLER_ACCOUNT
.Ad esempio,
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com
. -
Seleziona il ruolo Creatore token account di servizio
(
roles/iam.serviceAccountTokenCreator
). - Fai clic su Salva per concedere il ruolo all'account utente.
gcloud
Il comando
gcloud iam service-accounts add-iam-policy-binding
concede un ruolo su un account di servizio.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per cui viene generato il token. -
CALLER_ACCOUNT
: l'indirizzo email dell'account utente utilizzato per richiedere il token di breve durata.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud iam service-accounts add-iam-policy-binding PRIV_SA \ --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (PowerShell)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ` --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json
Windows (cmd.exe)
gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^ --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for serviceAccount [PRIV_SA]. { "bindings": [ { "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ], "role": "roles/iam.serviceAccountTokenCreator" } ], "etag": "BwX1ZbefjXU=", "version": 1 }
REST
-
Leggi la policy di autorizzazione per
PRIV_SA
:Il metodo
serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
Se non hai concesso ruoli al account di servizio, la risposta contiene solo un valore
etag
. Includi questo valore dietag
nel passaggio successivo. -
Modifica il criterio di autorizzazione per concedere a
CALLER_ACCOUNT
il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
).Ad esempio, per modificare la risposta di esempio del passaggio precedente, aggiungi quanto segue:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] } ] }
-
Scrivi la policy di autorizzazione aggiornata:
Il metodo
serviceAccounts.setIamPolicy
imposta un criterio di autorizzazione aggiornato per il account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project
.-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. POLICY_VERSION
: La versione della policy da restituire. Le richieste devono specificare la versione più recente delle norme, ovvero la versione 3. Per maggiori dettagli, vedi Specificare una versione delle norme quando si recuperano le norme.-
POLICY
: una rappresentazione JSON della policy che vuoi impostare. Per ulteriori informazioni sul formato di una policy, consulta la documentazione di riferimento delle policy.Ad esempio, per impostare il criterio di autorizzazione mostrato nel passaggio precedente, sostituisci
POLICY
con quanto segue, doveCALLER_ACCOUNT
è l'account utente che crea il token temporaneo:{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com" ] }, { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "CALLER_ACCOUNT" ] } ] }
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene la policy di autorizzazione aggiornata.
Genera il blob autofirmato
Genera un blob autofirmato per il account di servizio:
REST
Il metodo
serviceAccounts.signBlob
dell'API Service Account Credentials firma un blob utilizzando la chiave privata gestita dal sistema di un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
PRIV_SA
: l'indirizzo email del account di servizio con privilegi per il quale viene creato il token di breve durata. -
BLOB_PAYLOAD
: una stringa di byte codificata in Base64. Ad esempio,VGhlIHF1aWNrIGJyb3duIGZveCBqdW1wZWQgb3ZlciB0aGUgbGF6eSBkb2cu
.
Metodo HTTP e URL:
POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:signBlob
Corpo JSON della richiesta:
{ "payload": "BLOB_PAYLOAD" }
Per inviare la richiesta, espandi una di queste opzioni:
Se la richiesta
signBlob
è andata a buon fine, il corpo della risposta contiene un blob firmato e l'ID della chiave di firma utilizzata per firmare il blob. Puoi utilizzare il valoresignedBlob
come token di autenticazione per autenticare direttamente una richiesta per conto delaccount di serviziot. Il token è valido fino alla scadenza della chiave privata gestita dal sistema del account di servizio. L'ID di questa chiave è il valore del campokeyId
nella risposta.{ "keyId": "42ba1e...fc0a", "signedBlob": "eyJ0eXAi...NiJ9" }
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-08-21 UTC.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Mancano le informazioni di cui ho bisogno","missingTheInformationINeed","thumb-down"],["Troppo complicato/troppi passaggi","tooComplicatedTooManySteps","thumb-down"],["Obsoleti","outOfDate","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Problema relativo a esempi/codice","samplesCodeIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-08-21 UTC."],[[["This page details how to create short-lived credentials for service accounts, enabling impersonation using methods such as direct token generation instead of delegation chains."],["To create short-lived access tokens, the caller (user or service account) requires the Service Account Token Creator role (`roles/iam.serviceAccountTokenCreator`) on the privilege-bearing service account (`PRIV_SA`)."],["You can grant the necessary role through the Google Cloud Console, `gcloud` command-line tool, or REST API, with specific steps provided for each method, depending on whether the caller is a user or service account."],["The document outlines how to generate access tokens, OIDC ID tokens, and self-signed JWTs using `gcloud` and REST API, alongside examples of code snippets in various programming languages."],["The document also provides a summary section of the permissions required, and their respective gcloud and rest methods to achieve that, along with a glossary of key terms."]]],[]]