如果您打算在本機開發環境中使用支援應用程式預設憑證 (ADC) 的用戶端程式庫或第三方開發工具,請在本機環境中設定 ADC。詳情請參閱「設定本機開發環境的應用程式預設憑證」。
向 gcloud CLI 進行驗證及使用該工具的方法,取決於您執行工具的位置:
本機環境
在大多數情況下,您可以使用使用者憑證登入 gcloud CLI,但也可以使用服務帳戶。
在本機環境中登入 gcloud CLI 時,這項工具會將存取和重新整理權杖放在主目錄中。任何有權存取檔案系統的使用者,都能使用這些憑證。詳情請參閱「針對 Google Cloud CLI 遭盜用的 OAuth 權杖採取緩解措施」。
下表說明登入 gcloud CLI 的選項,以及這些選項如何影響工具用來向 Google API 進行驗證和授權的憑證。
| 憑證類型 | 驗證指令 | 附註 | 更多資訊 |
|---|---|---|---|
| 使用者憑證 |
可以是下列其中一項:
|
gcloud CLI 會使用您的使用者憑證,對所有 Google API 進行驗證和授權。 如要使用服務帳戶授權存取 Google API,請 模擬服務帳戶。 |
|
|
員工身分聯盟可讓由 Google 以外的識別資訊提供者管理的使用者存取 Google Cloud 資源。 | ||
| 服務帳戶 |
gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE
|
Workload Identity Federation 可讓在 Google Cloud 外部執行的工作負載存取 Google Cloud 資源。 | 驗證工作負載 |
gcloud auth login --cred-file=SERVICE_ACCT_KEY
|
不建議使用這種方法,因為使用服務帳戶金鑰會增加風險。 如要使用服務帳戶授權 Google API,請使用使用者憑證登入 gcloud CLI,然後使用 服務帳戶模擬。 |
Cloud Shell
使用 Cloud Shell 時,您不需要登入 gcloud CLI,但必須先授權使用帳戶,才能透過 Cloud Shell 使用任何開發工具。完成後,gcloud CLI 會使用您的使用者憑證存取 Google API。
詳情請參閱「使用 Cloud Shell 授權」。
Google Cloud 運算資源
在 Compute Engine 虛擬機器等 Google Cloud 運算資源上使用 gcloud CLI 時,您不需要初始化或登入 gcloud CLI,因為 gcloud CLI 會透過中繼資料伺服器,從代管運算資源取得憑證和設定資訊。
| 憑證類型 | 驗證指令 | 附註 | 更多資訊 |
|---|---|---|---|
| 服務帳戶 | 不適用 | gcloud CLI 會使用附加至運算資源的服務帳戶,對所有 Google API 進行驗證和授權。 | 為附加服務帳戶的資源設定 ADC |
gcloud CLI 驗證設定和 ADC 設定
登入 gcloud CLI 時,您可以使用 gcloud auth login 指令,向 gcloud CLI 驗證主體。gcloud CLI 會使用該主體進行驗證和授權,以管理 Google Cloud 資源和服務。這是 gcloud CLI 驗證設定。
使用 gcloud CLI 設定 ADC 時,請使用 gcloud auth application-default login 指令。這項指令會使用您提供的主體,為本機環境設定 ADC。這是您的 ADC 設定。
gcloud CLI 驗證設定與 ADC 設定不同。他們可以使用相同或不同的主體。gcloud CLI 不會使用 ADC 存取 Google Cloud 資源。
下表列出這兩個指令及其用途:
| 指令 | 說明 |
|---|---|
gcloud auth login
|
接受用於驗證及授權存取 Google Cloud 服務的憑證。 |
gcloud auth application-default login
|
根據您提供給指令的憑證,產生本機 ADC 檔案。 |
一般來說,您會使用同一個帳戶登入 gcloud CLI 並設定 ADC,但如有需要,也可以使用不同帳戶。
後續步驟
- 進一步瞭解 ADC 如何尋找憑證。
- 進行驗證以使用 Cloud 用戶端程式庫。
- 瞭解驗證方式。