Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Rotazione delle chiavi dell'account di servizio

Le chiavi dell'account di servizio sono chiavi private che ti consentono di autenticarti come account di servizio. La rotazione delle chiavi è il processo di sostituzione delle chiavi esistenti con nuove chiavi e poi di invalidazione delle chiavi sostituite. Ti consigliamo di ruotare regolarmente tutte le chiavi che gestisci, incluse le chiavi dell'account di servizio.

La rotazione delle chiavi dell'account di servizio può contribuire a ridurre il rischio rappresentato dalle chiavi divulgate o rubate. Se una chiave viene divulgata, i malintenzionati potrebbero impiegare giorni o settimane per scoprirla. Se ruoti regolarmente le chiavi dell'account di servizio, è più probabile che le chiavi trapelate non siano più valide quando vengono acquisite da un malintenzionato.

Avere un processo stabilito per la rotazione delle chiavi dell'account di servizio ti aiuta anche a intervenire rapidamente se sospetti che una chiave dell'account di servizio sia stata compromessa.

Nota: le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi effettuare l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte dalle best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del account di servizio, la creazione di chiavi del account di servizio potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Se hai acquisito la chiave dell'account di servizio da una fonte esterna, devi convalidarla prima dell'utilizzo. Per ulteriori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.

La frequenza di rotazione delle chiavi

Ti consigliamo di ruotare le chiavi almeno ogni 90 giorni per ridurre il rischio rappresentato dalle chiavi trapelate.

Se ritieni che una chiave dell'account di servizio sia stata compromessa, ti consigliamo di ruotarla immediatamente.

Procedura di rotazione delle chiavi

Per ruotare le chiavi dell'account di servizio:

Identifica le chiavi dell'account di servizio che devono essere ruotate.
Crea nuove chiavi per gli stessi account di servizio.
Sostituisci le chiavi esistenti con le nuove in tutte le applicazioni.
Disattiva le chiavi sostituite e monitora le applicazioni per verificare che funzionino come previsto.
Elimina le chiavi dell'account di servizio sostituite.

Puoi completare questi passaggi utilizzando un servizio di gestione delle chiavi centralizzato o un sistema di notifiche personalizzato.

Servizio di gestione dei secret centralizzato

Molti servizi di gestione dei secret centralizzati, come HashiCorp Vault, forniscono la rotazione automatica dei secret. Puoi utilizzare questi servizi per archiviare e ruotare le chiavi dell'account di servizio.

Sconsigliamo di utilizzare servizi di gestione delle chiavi basati su cloud, come Azure KeyVault e AWS Secret Manager, per archiviare e ruotare le chiavi degli account di servizio. Questo accade perché, per accedere a questi secret archiviati, l'applicazione ha bisogno di un'identità che il provider cloud possa riconoscere. Se la tua applicazione ha già un'identità che il provider cloud può riconoscere, può utilizzare questa identità per l'autenticazione anziché una chiave dell'account di servizio.

Sistema di notifiche personalizzate

Un altro approccio alla rotazione della chiave dell'account di servizio è creare un sistema che invii notifiche quando è necessario ruotare le chiavi. Ad esempio, puoi creare un sistema che invii avvisi quando rileva chiavi create più di 90 giorni fa.

Innanzitutto, devi identificare le chiavi che devono essere ruotate. Per identificare queste chiavi, ti consigliamo di utilizzare l'inventario asset di Cloud per cercare tutte le chiavi dell'account di servizio create prima di una determinata data.

Ad esempio, il seguente comando elenca tutte le chiavi del account di servizio create prima del giorno 2023-03-10 00:00:00 UTC nell'organizzazione con l'ID 123456789012:

gcloud asset search-all-resources \
    --scope="organizations/123456789012" \
    --query="createTime < 2023-03-10" \
    --asset-types="iam.googleapis.com/ServiceAccountKey" \
    --order-by="createTime"

Per scoprire di più sulla ricerca delle risorse in Cloud Asset Inventory, consulta Ricerca delle risorse. Dopo aver identificato le chiavi che devono essere ruotate, puoi inviare notifiche ai team appropriati.

Quando una persona riceve una notifica per ruotare una chiave, deve procedere nel seguente modo:

Crea una nuova chiave per lo stesso account di servizio.
Sostituisci la chiave esistente con la nuova in tutte le applicazioni.
Disattiva la chiave sostituita e monitora le applicazioni per verificare che funzionino come previsto.
Dopo aver verificato che le applicazioni funzionano come previsto, elimina la chiave sostituita.

Chiavi dell'account di servizio in scadenza

Sconsigliamo di utilizzare chiavi dell'account di servizio con scadenza per rotazione della chiave. Questo accade perché le chiavi in scadenza possono causare interruzioni se non vengono ruotate correttamente. Per maggiori informazioni sui casi d'uso delle chiavi degli account di servizio con scadenza, consulta la sezione Tempi di scadenza delle chiavi gestite dall'utente.

Passaggi successivi

Crea, disattiva ed elimina le chiavi dell'account di servizio.