בדף הזה מתוארות כמה דרכים להיכנס ל-CLI של gcloud. Google Cloud CLI הוא כלי שורת פקודה שבעזרתו אפשר לנהל את Google Cloud. אפשר להשתמש ב-CLI של gcloud ברוב השירותים.
אם אתם מתכוונים להשתמש בספריות לקוח או בכלי פיתוח של צד שלישי שתומכים ב-Application Default Credentials (ADC) בסביבת פיתוח מקומית, אתם צריכים להגדיר את ADC בסביבה המקומית. מידע נוסף זמין במאמר הגדרת Application Default Credentials בסביבת פיתוח מקומית.
האימות מול CLI של gcloud והשימוש בו מתבצעים בהתאם למקום שבו מריצים את הכלי:
הסביבה המקומית
ברוב המקרים תוכלו להשתמש בפרטי הכניסה של המשתמש שלכם כדי להיכנס ל-CLI של gcloud, אבל תוכלו גם להשתמש בחשבון שירות.
כשנכנסים ל-CLI של gcloud בסביבה המקומית, הכלי שומר את אסימוני הגישה ואת אסימוני הרענון בספריית הבית. המשמעות היא שכל משתמש שיש לו גישה למערכת הקבצים יוכל להשתמש בפרטי הכניסה האלה. מידע נוסף זמין במאמר צמצום פריצת אסימוני OAuth עבור Google Cloud CLI.
בטבלה הבאה מפורטות הדרכים להיכנס ל-CLI של gcloud וההשפעה על האופן שבו פרטי הכניסה ישמשו את הכלי לאימות ולהרשאה של Google APIs.
| סוג פרטי הכניסה | פקודת האימות | הערות | מידע נוסף |
|---|---|---|---|
| פרטי הכניסה של המשתמש |
אחת מהאפשרויות הבאות:
|
ה-CLI של gcloud משתמש בפרטי הכניסה של המשתמש לצורך אימות והרשאה בכל ה-Google APIs. כדי להשתמש בחשבון שירות להרשאה ל-Google APIs, משתמשים ב התחזות לחשבון שירות. |
|
|
איחוד שירותי אימות הזהות של כוח העבודה מאפשר למשתמשים שמנוהלים על ידי ספק זהויות שאינו Google לגשת Google Cloud למשאבים. | ||
| חשבון שירות |
gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE
|
איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לעומסי עבודה שפועלים מחוץ ל- Google Cloud לגשת Google Cloud למשאבים. | אימות של עומסי עבודה |
gcloud auth login --cred-file=SERVICE_ACCT_KEY
|
השיטה הזאת לא מומלצת כי השימוש במפתחות לחשבונות שירות מגביר את הסיכונים. כדי להשתמש בחשבון שירות לצורך הרשאה ל-Google APIs, צריך להיכנס ל-CLI של gcloud באמצעות פרטי הכניסה של המשתמש, ואז להשתמש ב התחזות לחשבון שירות. |
Cloud Shell
כשמשתמשים ב-Cloud Shell, כדי שתוכלו להשתמש בכלים לפיתוח לא תצטרכו להיכנס ל-CLI של gcloud אבל כן תצטרכו לאשר את השימוש בחשבון. אחרי אישור השימוש בחשבון, ה-CLI של gcloud משתמש בפרטי הכניסה של המשתמש כדי לגשת ל-Google APIs.
מידע נוסף זמין במאמר מתן הרשאה באמצעות Cloud Shell.
Google Cloud משאבי מחשוב
כשמשתמשים ב-CLI של gcloud במשאבי מחשוב כמו מכונות וירטואליות של Compute Engine, לא צריך לאתחל את ה-CLI של gcloud או להיכנס אליו. הכלי יקבל את פרטי הכניסה ואת פרטי ההגדרות ממשאב המחשוב המארח, באמצעות שרת המטא-נתונים. Google Cloud
| סוג פרטי הכניסה | פקודת האימות | הערות | מידע נוסף |
|---|---|---|---|
| חשבון שירות | לא רלוונטי | ה-CLI של gcloud משתמש בחשבון השירות המצורף למשאב המחשוב לצורך אימות והרשאה לכל ה-Google APIs. | הגדרת ADC למשאב עם חשבון שירות מצורף |
הגדרת אימות ב-CLI של gcloud והגדרת ADC
כשנכנסים ל-CLI של gcloud, כדי לאמת את זהות הגורם המוסמך ב-CLI של gcloud צריך להשתמש בפקודה gcloud auth login.
ה-CLI של gcloud משתמש בזהות הזו לאימות ולהרשאה כדי לנהל Google Cloud משאבים ושירותים. זו הגדרת האימות שלכם ב-CLI של gcloud.
כשמשתמשים ב-CLI של gcloud כדי להגדיר את ה-ADC, משתמשים בפקודה gcloud auth application-default login. הפקודה הזו משתמשת בזהות המשתמש שסיפקתם כדי להגדיר את ADC בסביבה המקומית. זו ההגדרה של ADC.
הגדרת האימות ב-CLI של gcloud שונה מהגדרת ה-ADC. הם יכולים להשתמש באותו חשבון ראשי או בחשבונות ראשיים שונים. ה-CLI של gcloud לא משתמש ב-ADC כדי לגשת למשאבים של Google Cloud .
בטבלה הבאה מוצגות שתי הפקודות ומה הן עושות:
| פקודה | תיאור |
|---|---|
gcloud auth login
|
קבלת פרטי כניסה שמשמשים לאימות ולאישור גישה לשירותים של Google Cloud . |
gcloud auth application-default login
|
יוצר קובץ ADC מקומי על סמך פרטי הכניסה שסיפקתם לפקודה. |
בדרך כלל משתמשים באותו חשבון כדי להיכנס ל-CLI של gcloud וכדי להגדיר את ADC, אבל אפשר להשתמש בחשבונות שונים במקרה הצורך.