Autentica en la API de Cloud Workstations

En este documento, se describe cómo autenticar Cloud Workstations de Cloud de manera programática. La forma de autenticarte en Cloud Workstations depende de la interfaz que uses para acceder a la API y del entorno en el que se ejecuta tu código.

Si eres nuevo en la API de Cloud Workstations, asegúrate de leer primero las siguientes secciones:

Para obtener más información sobre la Google Cloud autenticación, consulta los Métodos de autenticación.

Acceso a la API

Cloud Workstations admite el acceso programático. Puedes acceder a la API en las siguientes maneras:

Bibliotecas cliente
Google Cloud CLI
REST

Bibliotecas cliente

Las bibliotecas cliente de Cloud Workstations proporcionan una compatibilidad de lenguaje de alto nivel con el fin de autenticarse en Cloud Workstations de manera programática. Para autenticar las llamadas a las Google Cloud APIs de, las bibliotecas cliente admiten las Credenciales predeterminadas de la aplicación (ADC); las bibliotecas buscan credenciales en un conjunto de ubicaciones definidas y las usan en la autenticación de solicitudes a la API. Con ADC, puedes hacer que las credenciales estén disponibles para tu aplicación en una variedad de entornos, como el de desarrollo o producción local, sin necesidad de modificar el código de la aplicación.

Google Cloud CLI

Cuando usas la gcloud CLI para acceder a Cloud Workstations, accedes a la gcloud CLI con una cuenta de usuario que proporciona las credenciales que usan los comandos de la gcloud CLI.

Si las políticas de seguridad de tu organización impiden que las cuentas de usuario tengan los permisos necesarios, puedes usar la identidad temporal como cuenta de servicio.

Para obtener más información, consulta Autentícate para usar la CLI de gcloud. Para obtener más información sobre el uso de la CLI de gcloud con Cloud Workstations, consulta gcloud workstations.

REST

Puedes autenticarte en la API de Cloud Workstations con tus credenciales de la CLI de gcloud o con las credenciales predeterminadas de la aplicación. Para obtener más información sobre la autenticación en solicitudes de REST, consulta Autentícate para usar REST. Para obtener información sobre los tipos de credenciales, consulta gcloud credenciales de la CLI y credenciales de ADC.

Configura la autenticación para Cloud Workstations

La forma de configurar la autenticación dependerá del entorno en el que se ejecuta tu código.

Las siguientes opciones para configurar la autenticación son las más utilizadas. Para obtener más opciones e información sobre la autenticación, consulta Métodos de autenticación.

Antes de completar estas instrucciones, debes completar la configuración básica de Cloud Workstations, como se describe en Antes de comenzar.

Para un entorno de desarrollo local

Puedes configurar las credenciales de un entorno de desarrollo local de las siguientes maneras:

Credenciales de usuario para bibliotecas cliente o herramientas de terceros
Credenciales de usuario para solicitudes de REST desde la línea de comandos
Identidad temporal como cuenta de servicio

Bibliotecas cliente o herramientas de terceros

Configura las credenciales predeterminadas de la aplicación (ADC) en tu entorno local:

Instala la Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI con el siguiente comando:
```
gcloud init
```
Si usas un proveedor de identidad externo (IdP), primero debes acceder a la CLI de gcloud con tu identidad federada.
Si usas un shell local, crea credenciales de autenticación locales para tu cuenta de usuario:
```
gcloud auth application-default login
```
No es necesario que lo hagas si usas Cloud Shell.

Si se muestra un error de autenticación y usas un proveedor de identidad externo (IdP), confirma que accediste a la CLI de gcloud con tu identidad federada.

Aparecerá una pantalla de acceso. Después de acceder, tus credenciales se almacenan en el archivo de credenciales local que usa ADC.

Para obtener más información sobre cómo trabajar con ADC en un entorno local, consulta Configura ADC para un entorno de desarrollo local.

Solicitudes REST desde la línea de comandos

Cuando realizas una solicitud REST desde la línea de comandos, puedes usar tus credenciales de la CLI de gcloud si incluyes gcloud auth print-access-token como parte del comando que envía la solicitud.

En el siguiente ejemplo, se enumeran las cuentas de servicio para el proyecto especificado. Puedes usar el mismo patrón para cualquier solicitud de REST.

Antes de usar cualquiera de los datos de solicitud presentes a continuación, realiza los siguientes reemplazos:

PROJECT_ID: el ID de tu proyecto de Google Cloud

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts" | Select-Object -Expand Content

Para obtener más información sobre la autenticación con REST y gRPC, consulta Autentica para usar REST. Si deseas obtener información sobre la diferencia entre tus credenciales locales de ADC y tus gcloud credenciales de la CLI, consulta gcloud configuración de autenticación de la CLI y de ADC.

Identidad temporal como cuenta de servicio

En la mayoría de los casos, puedes usar tus credenciales de usuario para autenticarte desde un entorno de desarrollo local. Si eso no es posible o si necesitas probar los permisos asignados a una cuenta de servicio, puedes usar la identidad temporal como cuenta de servicio. Debes tener el iam.serviceAccounts.getAccessToken permiso, que viene incluido en el rol de IAM (roles/iam.serviceAccountTokenCreator) de la cuenta de servicio creadora de tokens.

Puedes configurar la CLI de gcloud para usar la identidad temporal como cuenta de servicio con el gcloud config set comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Para los lenguajes seleccionados, puedes usar la identidad temporal como cuenta de servicio y crear un archivo ADC local para que lo usen las bibliotecas cliente. Este enfoque solo es compatible con las bibliotecas cliente de Go, Java, Node.js y Python (no es compatible con los otros lenguajes). Para configurar un archivo ADC local con la identidad temporal como cuenta de servicio, usa la marca --impersonate-service-account con el comando gcloud auth application-default login:

gcloud auth application-default login --impersonate-service-account=SERVICE_ACCT_EMAIL

Para obtener más información sobre el uso de identidad temporal como cuenta de servicio, consulta Uso de la identidad temporal como cuenta de servicio.

En Google Cloud

Para autenticar una carga de trabajo que se ejecuta en Google Cloud, debes usar las credenciales de la cuenta de servicio conectada al recurso de procesamiento en el que se ejecuta tu código, como una instancia de máquina virtual (VM) de Compute Engine. Este enfoque es el método de autenticación preferido para el código que se ejecuta en un recurso de Google Cloud de procesamiento.

En la mayoría de los servicios, debes conectar la cuenta de servicio cuando crees el recurso que ejecutará el código; no puedes agregar o reemplazar la cuenta de servicio más adelante. Compute Engine es una excepción: te permite conectar una cuenta de servicio a una instancia de VM en cualquier momento.

Usa la CLI de gcloud para crear una cuenta de servicio y conectarla a tu recurso:

Instala la Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI con el siguiente comando:
```
gcloud init
```
Si usas un proveedor de identidad externo (IdP), primero debes acceder a la CLI de gcloud con tu identidad federada.
Configura la autenticación:
1. Asegúrate de tener el rol de IAM de creador de cuentas de servicio (roles/iam.serviceAccountCreator) y el rol de administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin). Obtén información para otorgar roles.
2. Crea la cuenta de servicio:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Reemplaza SERVICE_ACCOUNT_NAME por un nombre para la cuenta de servicio.
3. Para proporcionar acceso a tu proyecto y tus recursos, otorga un rol a la cuenta de servicio:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  Reemplaza lo siguiente:
  - SERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicio
  - PROJECT_ID: el ID del proyecto en el que creaste la cuenta de servicio
  - ROLE: el rol a otorgar
  Nota: La marca --role afecta a qué recursos puede acceder tu cuenta de servicio en el proyecto. Puedes revocar estas funciones o asignar otras más adelante. En entornos de producción, no otorgues los roles de propietario, editor o visualizador. En su lugar, otorga una función predefinida o una función personalizada que satisfaga tus necesidades.
4. Para otorgar otro rol a la cuenta de servicio, ejecuta el comando como lo hiciste en el paso anterior.
5. Otorga el rol necesario al principal que conectará la cuenta de servicio a otros recursos.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  Reemplaza lo siguiente:
  - SERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicio
  - PROJECT_ID: el ID del proyecto en el que creaste la cuenta de servicio
  - USER_EMAIL: la dirección de correo electrónico de una Cuenta de Google
Crea el recurso que ejecutará tu código y conecta la cuenta de servicio a ese recurso. Por ejemplo, si usas Compute Engine:
Crear una instancia de Compute Engine Configúrala como se indica a continuación:
- Reemplaza INSTANCE_NAME por el nombre de instancia que desees.
- Establece la marca --zone en la zona en la que deseas crear tu instancia.
- Establece la marca --service-account en la dirección de correo electrónico de la cuenta de servicio que creaste.
```
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
```

Para obtener más información acerca de la autenticación en las APIs de Google, consulta Métodos de autenticación.

Local o en un proveedor de servicios en la nube diferente

El método preferido para configurar la autenticación desde fuera de Google Cloud es usar la federación de identidades para cargas de trabajo. Para obtener más información, consulta Configura ADC para un entorno local o con otro proveedor de servicios en la nube en la documentación de autenticación.

Control de acceso para Cloud Workstations

Después de autenticarte en Cloud Workstations, debes tener autorización para acceder a los recursos de Google Cloud . Cloud Workstations uses Identity and Access Management (IAM) para la autorización.

Para obtener más información sobre los roles de Cloud Workstations, consulta Control de acceso con IAM. Para obtener más información sobre IAM y la autorización, consulta Descripción general de IAM.

¿Qué sigue?

Configura las prácticas recomendadas de seguridad.
Obtén más información sobre la compatibilidad con SSH.
Consulta una lista de parámetros de configuración de la estación de trabajo.
Obtén más información sobre los Google Cloud métodos de autenticación.
Consulta una lista de casos de uso de autenticación.