Использование токена сервисного аккаунта ВМ для работы с API

Привяжите сервисный аккаунт к виртуальной машине, чтобы безопасно получать и автоматически обновлять токены из метаданных ВМ. Это позволит избежать хранения ключей или токенов на диске ВМ и упростит автоматизацию процессов в облаке. Токен поступит в метаданные ВМ сразу после привязки сервисного аккаунта.

Чтобы узнать, как использовать токен сервисного аккаунта для запросов к API:

Добавьте сервисный аккаунт в настройки виртуальной машины.
Получите информацию о сервисном аккаунте из метаданных виртуальной машины.
Получите токен сервисного аккаунта.
Выполните тестовый запрос к API.

Если вам больше не нужны созданные ресурсы, удалите их.

Подготовка MWS Cloud Platform к работе

Создайте сервисный аккаунт с именем service-account и базовой ролью editor.

Чтобы сделать это, ваша роль должна быть не ниже iam.serviceAccount.admin.

Вы также можете использовать существующий сервисный аккаунт, в этом случае вам будет достаточно роли iam.serviceAccount.user (входит в роль editor).

Примечание
Для виртуальной машины и MWS CLI можно использовать один и тот же сервисный аккаунт.
Сгенерируйте ключ SSH.
Создайте виртуальную машину с именем vm-ca-test и сгенерированным ключом SSH. Вы можете выбрать сервисный аккаунт service-account при создании ВМ или добавить его позже.
Разрешите подключение к ВМ по SSH в правилах файрвола.
Для более комфортной работы с выводом команд установите утилиту jq.
Если вы планируете использовать MWS CLI:

6.1. Создайте авторизованный ключ для сервисного аккаунта service-account.

6.2. Установите и настройте MWS CLI.

1. Добавьте сервисный аккаунт в настройки виртуальной машины

Веб-консоль
MWS CLI

В веб-консоли выберите нужный проект.
В списке сервисов выберите Compute → Виртуальные машины и выберите виртуальную машину с именем vm-ca-test.
На вкладке Основное перейдите к редактированию сервисного аккаунта.
Выберите сервисный аккаунт с именем service-account.
Нажмите кнопку Сохранить.

2. Получите информацию о сервисном аккаунте

Подключитесь по SSH к виртуальной машине с именем vm-ca-test.
Привязка сервисного аккаунта к ВМ может занять несколько минут. Чтобы убедиться, что операция привязки завершена, получите информацию о сервисном аккаунте:
bash
```
1
curl -s -H "Metadata-Flavor: Google" \
2
http://169.254.169.254/computeMetadata/v1/instance/service-accounts/?recursive=true | jq
```
Ожидаемый вывод команды:
bash
```
1
{
2
  "<имя проекта>/serviceAccounts/<имя сервисного аккаунта>": {
3
    "aliases": [
4
      "default"
5
    ]
6
  }
7
}
```

3. Получите токен сервисного аккаунта

Получите токен для сервисного аккаунта:

1
curl -s -H "Metadata-Flavor: Google" \
2
http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token | jq

Вывод команды содержит тело токена, срок его действия в секундах, и тип токена:

1
{
2
  "access_token": "ey...Dw",
3
  "expires_in": 43144,
4
  "token_type": "Bearer"
5
}

4. Выполните запрос к API с помощью токена сервисного аккаунта

Добавьте токен в переменные окружения виртуальной машины:

1
TOKEN=$(curl -s -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token \
2
| jq -r '.access_token')

Выполните любой запрос к API, например, получите список ВМ в проекте:

1
curl -H "Authorization: Bearer $TOKEN" \
2
https://compute.mwsapis.ru/compute/v1/projects/project-sa-vm/virtualMachines

1
{
2
    "items": [
3
        {
4
            "kind": "compute/v1/virtualMachine",
5
            "metadata": {
6
                "id": "projects/project-sa-vm/virtualMachines/vm-ca-test",
7
                ...
8
            },
9
            ...
10
        },
11
        {
12
            "kind": "compute/v1/virtualMachine",
13
            "metadata": {
14
                "id": "projects/project-sa-vm/virtualMachines/vm-hwblua",
15
                ...
16
            },
17
            ...
18
       }
19
   ]
20
}

Удалите ресурсы

Некоторые ресурсы тарифицируются. Чтобы за их использование не списывалась плата: