Este documento descreve como iniciar sessão na CLI do Google Cloud com a sua identidade federada através de um início de sessão baseado no navegador.
Antes de começar
Certifique-se de que o administrador configurou a Workforce Identity Federation.
Certifique-se de que tem informações que suportam uma das seguintes opções. O seu administrador pode fornecer estas informações.
IDs do Workload Identity Pool e do fornecedor: um ID do Workload Identity Pool e um ID do fornecedor do Workload Identity Pool que pode usar para criar um ficheiro de configuração de início de sessão.
Ficheiro de configuração existente: um caminho para um ficheiro de configuração de início de sessão existente que pode usar para iniciar sessão na CLI gcloud.
Conteúdo do ficheiro de configuração: conteúdo do ficheiro de configuração que pode guardar num ficheiro de configuração.
Obtenha um ficheiro de configuração de início de sessão
Esta secção descreve como pode obter um ficheiro de configuração de início de sessão que pode usar para iniciar sessão na CLI gcloud.
Crie um ficheiro de configuração de início de sessão
Pode usar o ID do Workload Identity Pool e o ID do fornecedor do Workload Identity Pool para criar um ficheiro de configuração de início de sessão.
Para criar o ficheiro de configuração de início de sessão, execute o seguinte comando. Opcionalmente, pode ativar
o ficheiro como predefinição para a CLI gcloud adicionando a flag
--activate.
Em seguida, pode executar o comando gcloud auth login sem especificar
o caminho do ficheiro de configuração de cada vez.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Substitua o seguinte:
WORKFORCE_POOL_ID: o ID do Workforce PoolPROVIDER_ID: o ID do fornecedorLOGIN_CONFIG_FILE_PATH: o caminho para um ficheiro de configuração que especifica, por exemplo,login.json
O ficheiro contém os pontos finais usados pela CLI gcloud para ativar o fluxo de autenticação baseado no navegador e definir o público-alvo para o IdP que foi configurado no fornecedor do Workload Identity Pool. O ficheiro não contém informações confidenciais.
O resultado tem um aspeto semelhante ao seguinte:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect", }
Para impedir que o
gcloud auth login use este ficheiro de configuração automaticamente, pode anular a definição executando o comando
gcloud config unset auth/login_config_file.
Já pode iniciar sessão na CLI gcloud.
Guarde um ficheiro de configuração de início de sessão
Pode guardar o conteúdo do ficheiro de configuração de credenciais que lhe foi fornecido num ficheiro. Tome nota do caminho e, em seguida, inicie sessão na CLI gcloud.
Inicie sessão na CLI gcloud
Para iniciar sessão na CLI gcloud com um ficheiro de configuração de início de sessão, execute o seguinte comando:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Substitua LOGIN_CONFIG_FILE_PATH pelo caminho para o ficheiro de configuração de início de sessão, se não tiver ativado este ficheiro anteriormente.
No entanto, se tiver ativado anteriormente este ficheiro através da flag --activate, não precisa de especificar o ficheiro novamente.
Em vez disso, execute o seguinte comando:
gcloud auth login