Autenticarsi in Cloud Scheduler

Questo documento descrive come eseguire l'autenticazione in Cloud Scheduler in modo programmatico. La modalità di autenticazione a Cloud Scheduler dipende dall'interfaccia che utilizzi per accedere all'API e dall'ambiente in cui viene eseguito il codice.

Cloud Scheduler può chiamare destinazioni HTTP che richiedono l'autenticazione se hai configurato unaccount di serviziot associato con le credenziali appropriate. Per saperne di più, consulta Utilizzare l'autenticazione con target HTTP.

Per saperne di più sull'autenticazione di Google Cloud , consulta Metodi di autenticazione.

Accesso API

Cloud Scheduler supporta l'accesso programmatico. Puoi accedere all'API nei seguenti modi:

Librerie client
Google Cloud CLI
REST

Librerie client

Le librerie client Cloud Scheduler forniscono un supporto linguistico di alto livello per eseguire l'autenticazione in Cloud Scheduler in modo programmatico. Per autenticare le chiamate alle API Google Cloud , le librerie client supportano il servizio Credenziali predefinite dell'applicazione (ADC). Le librerie cercano le credenziali in una serie di località definite e le utilizzano per autenticare le richieste all'API. Con le ADC, puoi rendere disponibili le credenziali per la tua applicazione in vari ambienti, ad esempio per lo sviluppo locale o la produzione, senza dover modificare il codice dell'applicazione.

Google Cloud CLI

Quando utilizzi gcloud CLI per accedere a Cloud Scheduler, accedi a gcloud CLI con un account utente, che fornisce le credenziali utilizzate dai comandi gcloud CLI.

Se le policy di sicurezza della tua organizzazione impediscono agli account utente di disporre delle autorizzazioni richieste, puoi utilizzare la simulazione dell'identità dei service account.

Per saperne di più, consulta Autenticati per usare gcloud CLI. Per saperne di più sull'utilizzo di gcloud CLI con Cloud Scheduler, consulta le pagine di riferimento di gcloud CLI.

REST

Puoi autenticarti nell'API Cloud Scheduler utilizzando le credenziali gcloud CLI o le Credenziali predefinite dell'applicazione. Per saperne di più sull'autenticazione per le richieste REST, consulta Autenticati per usare REST. Per informazioni sui tipi di credenziali, consulta Credenziali gcloud CLI e credenziali ADC.

Configura l'autenticazione per Cloud Scheduler

La configurazione dell'autenticazione dipende dall'ambiente in cui viene eseguito il codice.

Le seguenti opzioni per la configurazione dell'autenticazione sono le più utilizzate. Per ulteriori opzioni e informazioni sull'autenticazione, vedi Metodi di autenticazione.

Prima di completare queste istruzioni, devi completare la configurazione di base di Cloud Scheduler, come descritto in Configurazione dell'ambiente.

Per un ambiente di sviluppo locale

Puoi configurare le credenziali per un ambiente di sviluppo locale nei seguenti modi:

Credenziali utente per librerie client o strumenti di terze parti
Credenziali utente per richieste REST dalla riga di comando
Simulazione dell'identità dei service account

Librerie client o strumenti di terze parti

Configura le Credenziali predefinite dell'applicazione (ADC) nel tuo ambiente locale:

Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:
```
gcloud init
```
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
Se utilizzi una shell locale, crea credenziali di autenticazione locali per il tuo account utente:
```
gcloud auth application-default login
```
Non è necessario eseguire questa operazione se utilizzi Cloud Shell.

Se viene restituito un errore di autenticazione e utilizzi un provider di identità (IdP) esterno, verifica di aver acceduto a gcloud CLI con la tua identità federata.

Viene visualizzata una schermata di accesso. Dopo aver eseguito l'accesso, le tue credenziali vengono archiviate nel file delle credenziali locali utilizzato da ADC.

Per ulteriori informazioni sull'utilizzo delle credenziali ADC in un ambiente locale, vedi Configura ADC per un ambiente di sviluppo locale.

Richieste REST dalla riga di comando

Quando effettui una richiesta REST dalla riga di comando, puoi utilizzare le credenziali gcloud CLI includendo gcloud auth print-access-token come parte del comando che invia la richiesta.

L'esempio seguente elenca i service account per il progetto specificato. Puoi utilizzare lo stesso pattern per qualsiasi richiesta REST.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

PROJECT_ID: l'ID progetto Google Cloud .

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts" | Select-Object -Expand Content

Per ulteriori informazioni sull'autenticazione tramite REST e gRPC, consulta Autenticazione per l'utilizzo di REST. Per informazioni sulla differenza tra le credenziali ADC locali e le credenziali gcloud CLI, vedi Configurazione dell'autenticazione con gcloud CLI e configurazione ADC.

Simulazione dell'identità dei service account

Nella maggior parte dei casi, puoi utilizzare le tue credenziali utente per l'autenticazione da un ambiente di sviluppo locale. Se non è possibile o se devi testare le autorizzazioni assegnate a un service account, puoi utilizzare la simulazione dell'identità dei service account. Devi disporre dell'autorizzazione iam.serviceAccounts.getAccessToken, inclusa nel ruolo IAM Service Account Token Creator (roles/iam.serviceAccountTokenCreator).

Puoi configurare gcloud CLI in modo che utilizzi la simulazione dell'identità dei service account utilizzando il comando gcloud config set:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Per alcuni linguaggi, puoi utilizzare la simulazione dell'identità dei service account per creare un file ADC locale da utilizzare con le librerie client. Questo approccio è supportato solo per le librerie client Go, Java, Node.js e Python, non per gli altri linguaggi. Per configurare un file ADC locale con la simulazione dell'identità dei service account, utilizza il flag --impersonate-service-account con il comando gcloud auth application-default login:

gcloud auth application-default login --impersonate-service-account=SERVICE_ACCT_EMAIL

Per saperne di più sulla simulazione dell'identità dei service account, consulta Utilizza la simulazione dell'identità dei service account.

Su Google Cloud

Per autenticare un workload in esecuzione su Google Cloud, utilizza le credenziali del service account collegato alla risorsa di computing in cui è in esecuzione il codice, ad esempio un'istanza di macchina virtuale (VM) Compute Engine. Questo approccio è il metodo di autenticazione preferito per il codice in esecuzione su una risorsa di computing Google Cloud .

Per la maggior parte dei servizi, devi collegare il service account quando crei la risorsa che eseguirà il codice. Non puoi aggiungere o sostituire il service account in un secondo momento. Compute Engine è un'eccezione: ti consente di collegare un service account a un'istanza VM in qualsiasi momento.

Utilizza gcloud CLI per creare un service account e collegarlo alla tua risorsa:

Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:
```
gcloud init
```
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
Configura l'autenticazione:
1. Assicurati di disporre del ruolo IAM Creazione account di servizio (roles/iam.serviceAccountCreator) e del ruolo Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin). Scopri come concedere i ruoli.
2. Crea l'account di servizio:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Sostituisci SERVICE_ACCOUNT_NAME con un nome per il account di servizio.
3. Per fornire l'accesso al tuo progetto e alle tue risorse, assegna un ruolo al account di servizio:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  Sostituisci quanto segue:
  - SERVICE_ACCOUNT_NAME: il nome del account di servizio
  - PROJECT_ID: l'ID progetto in cui hai creato il account di servizio
  - ROLE: il ruolo da concedere
  Nota: il flag --role influisce sulle risorse a cui l'account di servizio può accedere nel tuo progetto. Puoi revocare questi ruoli o concederne altri in un secondo momento. In ambienti di produzione, non concedere i ruoli Proprietario, Editor o Visualizzatore. Concedi invece un ruolo predefinito o un ruolo personalizzato che soddisfi le tue esigenze.
4. Per concedere un altro ruolo al account di servizio, esegui il comando come nel passaggio precedente.
5. Concedi il ruolo richiesto all'entità che collegherà ilaccount di serviziot ad altre risorse.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  Sostituisci quanto segue:
  - SERVICE_ACCOUNT_NAME: il nome del account di servizio
  - PROJECT_ID: l'ID progetto in cui hai creato il account di servizio
  - USER_EMAIL: l'indirizzo email di un Account Google
Crea la risorsa che eseguirà il codice e collega il service account a questa risorsa. Ad esempio, se utilizzi Compute Engine:
Crea un'istanza Compute Engine. Configura l'istanza come segue:
- Sostituisci INSTANCE_NAME con il nome dell'istanza che preferisci.
- Imposta il flag --zone sulla zona in cui vuoi creare l'istanza.
- Imposta il flag --service-account sull'indirizzo email del service account che hai creato.
```
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
```

Per saperne di più sull'autenticazione nelle API di Google, vedi Metodi di autenticazione.

On-premise o su un altro cloud provider

Il metodo preferito per configurare l'autenticazione dall'esterno di Google Cloud è utilizzare la federazione delle identità per i workload. Per saperne di più, consulta Configura ADC per on-premise o un altro provider cloud nella documentazione sull'autenticazione.

Controllo dell'accesso per Cloud Scheduler

Dopo l'autenticazione a Cloud Scheduler, devi disporre dell'autorizzazione per accedere alle risorse Google Cloud . Cloud Scheduler utilizza Identity and Access Management (IAM) per l'autorizzazione.

Per saperne di più sui ruoli per Cloud Scheduler, consulta Controllo dell'accesso con IAM. Per saperne di più su IAM e sull'autorizzazione, consulta Panoramica di IAM.

Passaggi successivi

Utilizzare l'autenticazione con target HTTP
Scopri di più sui metodi di autenticazioneGoogle Cloud .
Consulta un elenco di casi d'uso di autenticazione.