Autenticazione per Terraform

Questo documento descrive come eseguire l'autenticazione in Google Cloud quando utilizzi Terraform.

Le Credenziali predefinite dell'applicazione (ADC) sono il modo consigliato per eseguire l'autenticazione in Google Cloud quando utilizzi Terraform. ADC è una strategia utilizzata dalle librerie di autenticazione per trovare automaticamente le credenziali in base all'ambiente dell'applicazione. Quando utilizzi ADC, Terraform può essere eseguito in un ambiente di sviluppo o di produzione senza modificare la modalità di autenticazione aiGoogle Cloud servizi e alle API. Per informazioni su dove ADC cerca le credenziali e in quale ordine, consulta Come funzionano le Credenziali predefinite dell'applicazione works.

Eseguire l'autenticazione quando utilizzi Terraform in un ambiente di sviluppo locale

Quando utilizzi Terraform in un ambiente di sviluppo locale, ad esempio una workstation di sviluppo, puoi eseguire l'autenticazione utilizzando le credenziali associate al tuo account utente o al tuo service account.

Eseguire l'autenticazione utilizzando un account utente

Per configurare ADC con un account utente, utilizza Google Cloud CLI:

Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:
```
gcloud init
```
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
Se utilizzi una shell locale, crea le credenziali di autenticazione locali per il tuo account utente:
```
gcloud auth application-default login
```
Non devi eseguire questa operazione se utilizzi Cloud Shell.

Se viene restituito un errore di autenticazione e utilizzi un provider di identità (IdP) esterno, verifica di aver acceduto a gcloud CLI con la tua identità federata.

Viene visualizzata una schermata di accesso. Dopo aver eseguito l'accesso, le tue credenziali vengono archiviate nel file delle credenziali locali utilizzato da ADC.

Eseguire l'autenticazione utilizzando la simulazione dell'identità dei account di servizio

Puoi utilizzare la simulazione dell'identità dei account di servizio per configurare un file ADC locale. Terraform utilizza automaticamente queste credenziali.

Assicurati di disporre del ruolo IAM Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) per il service account di cui stai simulando l'identità. Per ulteriori informazioni, consulta Ruoli richiesti.
Utilizza la simulazione dell'identità dei account di servizio per creare un file ADC locale eseguendo il comando seguente:
```
gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL
```

Se vuoi consentire agli utenti di utilizzare un'origine di autenticazione principale condivisa e un account di servizio variabile per ambiente, imposta il impersonate_service_account campo nel file di configurazione Terraform:

provider "google" {
  impersonate_service_account = "SERVICE_ACCT_EMAIL"
}

Eseguire l'autenticazione quando esegui Terraform su Google Cloud

Quando esegui Terraform in un ambiente di sviluppo basato su Google Cloud cloud come Cloud Shell, lo strumento utilizza le credenziali che hai fornito quando hai eseguito l'accesso per l'autenticazione.

Quando utilizzi Terraform con Google Cloud servizi come Compute Engine, App Engine e le funzioni di Cloud Run, puoi collegare un service account gestito dall'utente alle risorse. In genere, il collegamento di un account di servizio è supportato quando le risorse del servizio possono eseguire o includere codice dell'applicazione. Quando colleghi un account di servizio a una risorsa, il codice in esecuzione sulla risorsa può utilizzare il account di servizio come identità.

Il collegamento di un account di servizio gestito dall'utente è il modo preferito per fornire le credenziali ad ADC per il codice di produzione in esecuzione su Google Cloud.

Per assistenza nella determinazione dei ruoli da fornire al tuo account di servizio, consulta Scegliere i ruoli predefiniti.

Per informazioni sulle risorse a cui puoi collegare un account di servizio e per assistenza nel collegamento del account di servizio alla risorsa, consulta la documentazione IAM sul collegamento di un service account.

Configura l'autenticazione:

Assicurati di disporre del ruolo IAM Creazione account di servizio (roles/iam.serviceAccountCreator) e del ruolo Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin). Scopri come concedere i ruoli.
Crea l'account di servizio:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
Sostituisci SERVICE_ACCOUNT_NAME con un nome per il account di servizio.
Per fornire l'accesso al tuo progetto e alle tue risorse, concedi un ruolo al account di servizio:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
Sostituisci quanto segue:
- SERVICE_ACCOUNT_NAME: il nome del account di servizio
- PROJECT_ID: l'ID progetto in cui hai creato il account di servizio
- ROLE: il ruolo da concedere
Nota: il flag --role influisce sulle risorse a cui il account di servizio può accedere nel tuo progetto. Puoi revocare questi ruoli o concedere ruoli aggiuntivi in un secondo momento. In ambienti di produzione, non concedere i ruoli Proprietario, Editor o Visualizzatore. Concedi invece un ruolo predefinito o ruolo personalizzato che soddisfi le tue esigenze.
Per concedere un altro ruolo al account di servizio, esegui il comando come nel passaggio precedente.
Concedi il ruolo richiesto all'entità che collegherà il account di servizio ad altre risorse.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
Sostituisci quanto segue:
- SERVICE_ACCOUNT_NAME: il nome del account di servizio
- PROJECT_ID: l'ID progetto in cui hai creato il account di servizio
- USER_EMAIL: l'indirizzo email di un Account Google

Eseguire l'autenticazione quando esegui Terraform on-premise o su un altro cloud provider

Se esegui l'applicazione al di fuori di Google Cloud, devi fornire credenziali riconosciute da Google Cloud per utilizzare Google Cloud i servizi.

Eseguire l'autenticazione utilizzando la federazione delle identità per i workload

Il modo preferito per eseguire l'autenticazione con Google Cloud utilizzando le credenziali di un IdP esterno è utilizzare la federazione delle identità per i workload. Puoi creare un file di configurazione delle credenziali e impostare la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS in modo che rimandi al file. Questo approccio è più sicuro della creazione di una chiave del account di servizio. Per istruzioni sulla configurazione della federazione delle identità per i workload per ADC, consulta Federazione delle identità per i workload con altri cloud.

Eseguire l'autenticazione utilizzando le chiavi dei account di servizio

Quando esegui Terraform in un ambiente di sviluppo locale, on-premise o su un altro cloud provider, puoi creare un account di servizio, concedergli i ruoli IAM richiesti dalla tua applicazione e creare una chiave per il account di servizio.

**Nota** :le chiavi dei service account comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi del service account quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte in Best practice per la gestione delle chiavi dei service account. Se non riesci a creare una chiave del service account, la creazione di chiavi del service account potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, vedi Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Se hai acquisito la chiave del service account da una fonte esterna, devi convalidarla prima dell'utilizzo. Per maggiori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.

Per creare una chiave del account di servizio e renderla disponibile per ADC:

Crea un account di servizio con i ruoli richiesti dalla tua applicazione e una chiave per il account di servizio seguendo le istruzioni riportate in Creare una account di servizio account.

Eseguire l'autenticazione ai backend di Cloud Storage

Terraform ti consente di configurare Cloud Storage come backend per archiviare i file di stato di Terraform. Per eseguire l'autenticazione a un backend di Cloud Storage, utilizza uno dei metodi descritti in questa pagina. Per informazioni sulle variabili di configurazione relative all'autenticazione per i backend di Cloud Storage, consulta la pagina dei backend di Terraform per Cloud Storage.

Passaggi successivi

Esplora la guida rapida a Terraform per Google Cloud
Scopri di più sui comandi Terraform di base.