Configurare l'ADC per un ambiente di sviluppo locale

Puoi fornire le credenziali utente o le credenziali del service account ad ADC in un ambiente di sviluppo locale.

Credenziali utente

Quando il codice viene eseguito in un ambiente di sviluppo locale, ad esempio una workstation di sviluppo, l'opzione migliore è utilizzare le credenziali associate al tuo account utente.

La modalità di configurazione di ADC con il tuo account utente dipende dal fatto che il tuo account utente sia gestito da Google, ovvero sia un Account Google, o da un altro provider di identità (IdP) e federato utilizzando la federazione delle identità per la forza lavoro.

Account Google

Per configurare ADC con un Account Google, utilizza Google Cloud CLI:

  1. Installa Google Cloud CLI.

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  2. Se utilizzi una shell locale, crea le credenziali di autenticazione locali per il tuo account utente: 

    gcloud auth application-default login

    Non devi eseguire questa operazione se utilizzi Cloud Shell.

    Se viene restituito un errore di autenticazione e utilizzi un provider di identità (IdP) esterno, verifica di aver acceduto a gcloud CLI con la tua identità federata.

    Viene visualizzata una schermata di accesso. Dopo aver eseguito l'accesso, le tue credenziali vengono archiviate nel file delle credenziali locali utilizzato da ADC.

IdP esterno

Per configurare ADC per un account utente gestito da un IdP esterno e federato con la federazione delle identità per la forza lavoro:

  1. Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente: 

    gcloud init

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  2. Se utilizzi una shell locale, crea le credenziali di autenticazione locali per il tuo account utente: 

    gcloud auth application-default login

    Non devi eseguire questa operazione se utilizzi Cloud Shell.

    Se viene restituito un errore di autenticazione e utilizzi un provider di identità (IdP) esterno, verifica di aver acceduto a gcloud CLI con la tua identità federata.

    Viene visualizzata una schermata di accesso. Dopo aver eseguito l'accesso, le tue credenziali vengono archiviate nel file delle credenziali locali utilizzato da ADC.

Suggerimenti per la configurazione di ADC con le credenziali utente

Quando configuri ADC con il tuo account utente, devi tenere presente i seguenti fatti:

  • ADC configurato con un account utente potrebbe non funzionare per alcune API senza passaggi di configurazione aggiuntivi. Se visualizzi un messaggio di errore che indica che l'API non è abilitata nel progetto o che non è disponibile alcun progetto di quota, vedi Le credenziali utente non funzionano.

  • Il file ADC locale contiene il token di aggiornamento. Qualsiasi utente con accesso al file system può utilizzarlo per ottenere un token di accesso valido. Se non hai più bisogno di queste credenziali locali, puoi revocarle utilizzando il gcloud auth application-default revoke comando.

  • Il file ADC locale è associato al tuo account utente, non alla configurazione di gcloud CLI. Il passaggio a una configurazione di gcloud CLI diversa potrebbe modificare l'identità utilizzata da gcloud CLI, ma non influisce sul file ADC locale o sulla configurazione di ADC.

Credenziali del service account

Puoi configurare ADC con le credenziali di un service account utilizzando la simulazione dell'identità del account di servizio o utilizzando una chiave del account di servizio.

Simulazione dell'identità dei service account

Puoi utilizzare la simulazione dell'identità dei account di servizio per configurare un file delle credenziali predefinite dell'applicazione (ADC) locale. Le librerie client che supportano la simulazione dell'identità possono utilizzare automaticamente queste credenziali. I file ADC locali creati utilizzando la simulazione dell'identità sono supportati nei seguenti linguaggi:

  • C#
  • C++
  • Vai
  • Java
  • Node.js
  • PHP
  • Python
  • Ruby
  • Rust

Devi disporre del ruolo IAM Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) nel service account di cui stai simulando l'identità. Per saperne di più, consulta Ruoli richiesti.

Utilizza la simulazione dell'identità dei account di servizio per creare un file ADC locale: 

gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL

Ora puoi utilizzare le librerie client utilizzando i linguaggi supportati nello stesso modo in cui faresti dopo aver configurato un file ADC locale con le credenziali utente. Le credenziali vengono trovate automaticamente dalle librerie di autenticazione. Per saperne di più, consulta Autenticati per utilizzare le librerie client.

Le credenziali di un file ADC locale generato utilizzando la simulazione dell'identità dei account di servizio non sono supportate da tutte le librerie di autenticazione. Per saperne di più, consulta Errore restituito per le credenziali locali dalla account di servizio account.

Chiavi service account

Se non puoi utilizzare un account utente o la simulazione dell'identità dei account di servizio per lo sviluppo locale, puoi utilizzare una chiave del account di servizio.

Per creare una chiave del account di servizio e renderla disponibile per ADC:

  1. Crea un account di servizio con i ruoli di cui ha bisogno la tua applicazione e una chiave per questo account di servizio seguendo le istruzioni riportate in Creare una account di servizio account.

  2. Imposta la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS sul percorso del file JSON contenente le credenziali. Questa variabile si applica solo alla sessione di shell corrente, quindi se apri una nuova sessione, imposta di nuovo la variabile.

Passaggi successivi