Pode fornecer as suas credenciais de utilizador ou credenciais de conta de serviço ao ADC num ambiente de desenvolvimento local.
Credenciais de utilizador
Quando o seu código está a ser executado num ambiente de desenvolvimento local, como uma estação de trabalho de desenvolvimento, a melhor opção é usar as credenciais associadas à sua conta de utilizador.
A forma como configura o ADC com a sua conta de utilizador depende de se a conta de utilizador é gerida pela Google, ou seja, é uma Conta Google, ou por outro fornecedor de identidade (IdP) e federada através da federação de identidade da força de trabalho.Conta Google
Para configurar o ADC com uma Conta Google, usa a Google Cloud CLI:
-
Instale a CLI Google Cloud.
Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
É apresentado um ecrã de início de sessão. Depois de iniciar sessão, as suas credenciais são armazenadas no ficheiro de credenciais local usado pelo ADC.
IdP externo
Para configurar o ADC para uma conta de utilizador gerida por um IdP externo e federada com a Workforce Identity Federation:
-
Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando:
gcloud initSe estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
É apresentado um ecrã de início de sessão. Depois de iniciar sessão, as suas credenciais são armazenadas no ficheiro de credenciais local usado pelo ADC.
Sugestões para configurar o ADC com as suas credenciais de utilizador
Quando configura o ADC com a sua conta de utilizador, deve ter em atenção os seguintes factos:
O ADC configurado com uma conta de utilizador pode não funcionar para algumas APIs sem passos de configuração adicionais. Se vir uma mensagem de erro a indicar que a API não está ativada no projeto ou que não existe nenhum projeto de quota disponível, consulte o artigo As credenciais do utilizador não estão a funcionar.
O ficheiro ADC local contém o seu token de atualização. Qualquer utilizador com acesso ao seu sistema de ficheiros pode usá-lo para obter um token de acesso válido. Se já não precisar destas credenciais locais, pode revogá-las através do comando
gcloud auth application-default revoke.O ficheiro ADC local está associado à sua conta de utilizador e não à configuração da CLI gcloud. A alteração para uma configuração da CLI gcloud diferente pode alterar a identidade usada pela CLI gcloud, mas não afeta o ficheiro ADC local nem a configuração do ADC.
Credenciais da conta de serviço
Pode configurar o ADC com credenciais de uma conta de serviço através da representação da conta de serviço ou através de uma chave da conta de serviço.
Simulação de identidade de conta de serviço
Pode usar a representação da conta de serviço para configurar um ficheiro de credenciais predefinidas da aplicação (ADC) local. As bibliotecas cliente que suportam a representação podem usar essas credenciais automaticamente. Os ficheiros ADC locais criados através da representação são suportados nos seguintes idiomas:
- C#
- Ir
- Java
- Node.js
- Python
Tem de ter a função IAM Criador de tokens de conta de serviço
(roles/iam.serviceAccountTokenCreator) na conta de serviço que está a
roubar a identidade. Para mais informações, consulte a secção
Funções necessárias.
Use a representação da conta de serviço para criar um ficheiro ADC local:
gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL
Agora, pode usar bibliotecas de cliente nos idiomas suportados da mesma forma que o faria depois de configurar um ficheiro ADC local com credenciais do utilizador. As credenciais são encontradas automaticamente pelas bibliotecas de autenticação. Para mais informações, consulte o artigo Autentique-se para usar bibliotecas de cliente.
As credenciais de um ficheiro ADC local gerado através da representação da conta de serviço não são suportadas por todas as bibliotecas de autenticação. Para mais informações, consulte o artigo Erro devolvido para credenciais locais da representação da conta de serviço.
Chaves de contas de serviço
Se não puder usar uma conta de utilizador ou uma representação de conta de serviço para o desenvolvimento local, pode usar uma chave de conta de serviço.
Para criar uma chave de conta de serviço e disponibilizá-la ao ADC:
- Crie uma conta de serviço com as funções de que a sua aplicação precisa e uma chave para essa conta de serviço seguindo as instruções em Criar uma chave de conta de serviço.
-
Set the environment variable
GOOGLE_APPLICATION_CREDENTIALSto the path of the JSON file that contains your credentials. This variable applies only to your current shell session, so if you open a new session, set the variable again.
O que se segue?
Compreenda as práticas recomendadas para usar chaves de contas de serviço.
Saiba mais sobre como o ADC encontra credenciais.
Autentique-se para usar as bibliotecas de cliente do Google Cloud.
Explore os métodos de autenticação.