Autenticar para usar a gcloud CLI

Nesta página, você verá várias maneiras de fazer login na gcloud CLI. A CLI do Google Cloud é uma ferramenta de linha de comando que pode ser usada para a administração do Google Cloud. A maioria dos serviços é compatível com a gcloud CLI.

Se você quiser usar bibliotecas de cliente ou ferramentas de desenvolvimento de terceiros compatíveis com o Application Default Credentials (ADC) em um ambiente de desenvolvimento local, precisará configurar o ADC no ambiente local. Para mais informações, consulte Configurar o Application Default Credentials para um ambiente de desenvolvimento local.

A maneira como você autentica e usa a gcloud CLI depende de onde você está executando a ferramenta:

• Em um ambiente local
• Como usar o Cloud Shell
• Em recursos de computação Google Cloud

Ambiente local

Para a maioria dos casos de uso, é possível usar as credenciais de usuário para fazer login na gcloud CLI, mas também é possível usar uma conta de serviço.

Quando você faz login na gcloud CLI em um ambiente local, a ferramenta coloca os tokens de acesso e atualização no diretório principal. Qualquer usuário com acesso ao seu sistema de arquivos pode usar essas credenciais. Para mais informações, consulte Como minimizar tokens OAuth comprometidos para a CLI do Google Cloud.

A tabela a seguir descreve as opções para fazer login na gcloud CLI e como isso afeta as credenciais usadas pela ferramenta para autenticar e autorizar as APIs do Google.

Tipo de credencial	Comando de autenticação	Observações	Mais informações
Credenciais do usuário	Opções: gcloud init: autoriza o acesso e executa outras etapas comuns de configuração. gcloud auth login: autoriza apenas o acesso.	A gcloud CLI usa suas credenciais de usuário para autenticação e autorização em todas as APIs do Google. Se quiser usar uma conta de serviço para autorização em APIs do Google, use a identidade temporária de conta de serviço.	Inicialize a gcloud CLI. Usar a identidade temporária de conta de serviço
	gcloud config set auth/login_config_file WORKFORCE_IDENTITY_FEDERATION_LOGIN_CONFIGURATION_FILE gcloud auth login	A federação de identidade de colaboradores permite que os usuários gerenciados por um provedor de identidade diferente do Google acessem Google Cloud recursos.	Fazer login na CLI gcloud com sua identidade federada Federação de identidade de colaboradores
Conta de serviço	gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE	A federação de identidade da carga de trabalho permite que cargas de trabalho executadas fora do Google Cloud acessem recursos Google Cloud .	Autenticar uma carga de trabalho
	gcloud auth login --cred-file=SERVICE_ACCT_KEY	Esse método não é recomendado porque o uso de chaves da conta de serviço aumenta os riscos. Para usar uma conta de serviço para autorização em APIs do Google, faça login na gcloud CLI com suas credenciais de usuário e use a identidade temporária de conta de serviço.	Práticas recomendadas para gerenciar chaves de contas de serviço Usar a identidade temporária de conta de serviço

Cloud Shell

Ao usar o Cloud Shell, você não precisa fazer login na gcloud CLI, mas precisa autorizar o uso da sua conta antes de usar as ferramenta para desenvolvedores do Cloud Shell. Depois disso, a gcloud CLI usará suas credenciais de usuário para acessar as APIs do Google.

Para mais informações, consulte Autorizar com o Cloud Shell.

Google Cloud recursos de computação

Ao usar a CLI gcloud em recursos de computação Google Cloud , como máquinas virtuais do Compute Engine, não é necessário inicializar ou fazer login na CLI gcloud, porque ela recebe as credenciais e informações de configuração do recurso de computação de hospedagem usando o servidor de metadados.

Tipo de credencial	Comando de autenticação	Observações	Mais informações
Conta de serviço	Não relevante	A gcloud CLI usa a conta de serviço anexada ao recurso de computação para autenticação e autorização para todas as APIs do Google.	Configurar o ADC para um recurso com uma conta de serviço anexada

Configuração de autenticação da gcloud CLI e configuração do ADC

Ao fazer login na gcloud CLI, você usa o comando gcloud auth login para autenticar um principal nela. A CLI gcloud usa esse principal para autenticação e autorização ao gerenciar Google Cloud recursos e serviços. Esta é a configuração de autenticação da gcloud CLI.

Ao usar a gcloud CLI para configurar o ADC, use o comando gcloud auth application-default login. Esse comando usa o principal fornecido para configurar o ADC para seu ambiente local. Esta é sua configuração do ADC.

A configuração de autenticação da gcloud CLI é diferente da configuração do ADC. Elas podem usar o mesmo principal ou principais diferentes. A CLI gcloud não usa o ADC para acessar recursos Google Cloud .

A tabela a seguir mostra os dois comandos e o que eles fazem:

Comando	Descrição
gcloud auth login	Aceita credenciais usadas para autenticação e autorização de acesso aos serviços Google Cloud .
gcloud auth application-default login	Gera um arquivo local do ADC com base nas credenciais fornecidas ao comando.

Geralmente, você usa a mesma conta para fazer login na gcloud CLI e configurar o ADC, mas é possível usar contas diferentes, se necessário.

A seguir

• Saiba mais sobre como o ADC encontra credenciais.
• Autenticar para usar bibliotecas de cliente do Cloud.
• Conheça os métodos de autenticação.