Mithilfe von Cloud APIs können Sie direkt aus Ihrem Code auf Google Cloud-Produkte und -Dienste zugreifen. Diese Cloud APIs bieten eine einfache JSON-REST-Schnittstelle, die Sie über Clientbibliotheken aufrufen können.
In diesem Dokument wird beschrieben, wie Sie Cloud APIs aktivieren und Cloud-Clientbibliotheken zu Ihrem Projekt hinzufügen.
Cloud APIs durchsuchen
So finden Sie alle verfügbaren Google Cloud APIs in Ihrer IDE:
- Wählen Sie Tools > Cloud Code > Cloud-Bibliotheken hinzufügen und Cloud APIs verwalten aus.
- Maximieren Sie den Explorer-Baum der Google Cloud APIs, um alle verfügbaren APIs ansehen zu können. Der Explorer gruppiert Cloud APIs nach Kategorie. Über die Suchleiste "Search APIs" können Sie auch nach einer bestimmten API suchen.
- Klicken Sie auf eine API, um weitere Details wie Status, sprachspezifische Installationshinweise für die entsprechenden Clientbibliotheken und die zugehörige Dokumentation anzeigen zu lassen.

Cloud APIs aktivieren
Mit den API-Details können Sie auch schnell Cloud APIs für ein Projekt aktivieren. Anleitung:
- Wählen Sie in der Detailansicht der Cloud API das Google Cloud-Projekt aus, für das Sie die Cloud API aktivieren möchten.
- Klicken Sie auf die Schaltfläche API aktivieren.
Sobald die API aktiviert ist, wird eine Meldung zur Bestätigung dieser Änderung angezeigt.
Cloud-Clientbibliotheken hinzufügen
So fügen Sie Bibliotheken zu Ihrem Projekt in IntelliJ hinzu:
Für Java Maven-Projekte
- Wählen Sie Tools > Cloud Code > Add Cloud libraries and Manage Cloud APIs aus.
- Wählen Sie den gewünschten Bibliothekstyp aus der Google Cloud-Clientbibliothek (empfohlen) oder der Java Spring GCP-Bibliothek.
- Wählen Sie im Drop-down-Menü Modul das Modul aus, dem Sie die Bibliothek hinzufügen möchten.
- Klicken Sie auf Maven-Abhängigkeit hinzufügen, um Ihrem Projekt die BOM und eine Clientbibliothek hinzuzufügen.
Im Dialogfeld Add Google Cloud libraries werden die unterstützten Bibliotheken angezeigt.

Für alle anderen Projekte
- Wählen Sie Tools > Cloud Code > Cloud-Bibliotheken hinzufügen und Cloud APIs verwalten aus.
- Installieren Sie die API gemäß der Installationsanleitung auf der Seite der API-Details für Ihre bevorzugte Sprache.
Im Dialogfeld Add Google Cloud libraries werden die unterstützten Bibliotheken angezeigt.

Authentifizierung einrichten
Nachdem Sie die erforderlichen APIs aktiviert und die erforderlichen Clientbibliotheken hinzugefügt haben, müssen Sie Ihre Anwendung für die Authentifizierung konfigurieren. Ihre Konfiguration hängt von Ihrer Art der Entwicklung und der Plattform ab, auf der Sie arbeiten.
Nachdem Sie die erforderlichen Authentifizierungsschritte abgeschlossen haben, kann sich Ihre Anwendung authentifizieren und bereitgestellt werden.
Lokale Entwicklung
Lokaler Rechner
- Cloud Code gewährleistet, dass Ihre Standardanmeldedaten für Anwendungen (ADC) festgelegt sind, wenn Sie sich über Ihre IDE bei Google Cloud angemeldet haben.
Wenn Sie sich außerhalb Ihrer IDE in Google Cloud angemeldet haben (z. B. über das gcloud-Befehlszeilentool), müssen Siegcloud auth login --update-adc
ausführen, um Ihre ADC festzulegen. Dies ermöglicht es Google Cloud-Clientbibliotheken außerdem, Ihren ADC für die Authentifizierung zu finden.
minikube
- Cloud Code gewährleistet, dass Ihre Standardanmeldedaten für Anwendungen (ADC) festgelegt sind, wenn Sie sich über Ihre IDE bei Google Cloud angemeldet haben.
Wenn Sie sich außerhalb Ihrer IDE in Google Cloud angemeldet haben (z. B. über das gcloud-Befehlszeilentool), müssen Siegcloud auth login --update-adc
ausführen, um Ihre ADC festzulegen. Damit kann minikube Ihre ADC finden, um sich zu authentifizieren. - Starten Sie minikube mit
minikube start --addons gcp-auth
. Dadurch werden Ihre ADC in Ihren Pods bereitgestellt. Eine detaillierte minikube-Authentifizierungsanleitung für Google Cloud finden Sie in der minikube gcp-auth-Dokumentation.
Andere lokale K8s-Cluster
- Cloud Code gewährleistet, dass Ihre Standardanmeldedaten für Anwendungen (ADC) festgelegt sind, wenn Sie sich über Ihre IDE bei Google Cloud angemeldet haben.
Wenn Sie sich außerhalb Ihrer IDE in Google Cloud angemeldet haben (z. B. über das gcloud-Befehlszeilentool), müssen Siegcloud auth login --update-adc
ausführen, um Ihre ADC festzulegen. - Stellen Sie das lokale
gcloud
-Verzeichnis in Ihren Kubernetes-Pods bereit. Bearbeiten Sie dazu die Pod-Spezifikation im Pod oder in den Deployment-Manifesten, damit die Google Cloud-Clientbibliotheken Ihre Anmeldedaten finden. Beispiel für die Kubernetes-Pod-Konfiguration:apiVersion: v1 kind: Pod metadata: name: my-app labels: name: my-app spec: containers: - name: my-app image: gcr.io/google-containers/busybox ports: - containerPort: 8080 volumeMounts: - mountPath: /root/.config/gcloud name: gcloud-volume volumes: - name: gcloud-volume hostPath: path: /path/to/home/.config/gcloud
Cloud Run
- Cloud Code gewährleistet, dass Ihre Standardanmeldedaten für Anwendungen (ADC) festgelegt sind, wenn Sie sich über Ihre IDE bei Google Cloud angemeldet haben.
Wenn Sie sich außerhalb Ihrer IDE in Google Cloud angemeldet haben (z. B. über das gcloud-Befehlszeilentool), müssen Siegcloud auth login --update-adc
ausführen, um Ihre ADC festzulegen. Dadurch kann die lokale simulierte Umgebung von Cloud Run Ihre ADC auch für die Authentifizierung finden.
Remote-Entwicklung
Google Kubernetes Engine
Je nach Umfang Ihres Projekts können Sie auswählen, wie Google Cloud-Dienste in GKE authentifiziert werden sollen:
- (Nur Entwicklung)
- Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
- Achten Sie darauf, dass Sie das Dienstkonto verwenden, das GKE standardmäßig verwendet, das Compute Engine-Standarddienstkonto, und dass für Zugriffsbereiche die Einstellung Uneingeschränkten Zugriff auf alle Cloud APIs erlauben (beide Einstellungen im Abschnitt Knotenpools > Sicherheit verfügbar) eingestellt ist.
Da das Compute-Engine-Dienstkonto von allen auf Ihrem Knoten bereitgestellten Arbeitslasten gemeinsam genutzt wird, überdimensioniert diese Methode die Berechtigungen und sollte nur für die Entwicklung verwendet werden. - Achten Sie darauf, dass Workload Identity in Ihrem Cluster nicht aktiviert ist. Dies geschieht unter Cluster > Sicherheit.
- Achten Sie darauf, dass Sie das Dienstkonto verwenden, das GKE standardmäßig verwendet, das Compute Engine-Standarddienstkonto, und dass für Zugriffsbereiche die Einstellung Uneingeschränkten Zugriff auf alle Cloud APIs erlauben (beide Einstellungen im Abschnitt Knotenpools > Sicherheit verfügbar) eingestellt ist.
- Weisen Sie dem Compute Engine-Standarddienstkonto die erforderlichen Rollen zu:
- Wenn Sie auf ein Secret zugreifen möchten, folgen Sie den Schritten für Secret Manager, um die erforderlichen Rollen für Ihr Dienstkonto einzurichten.
- Wenn das Compute Engine-Standarddienstkonto verwendet wird, wurden die richtigen IAM-Rollen möglicherweise bereits angewendet.
- In der Anleitung zu Rollen werden IAM-Rollentypen beschrieben und die verfügbaren vordefinierten Rollen aufgeführt, die Sie Identitäten zuweisen können.
- Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
- (für die Produktion empfohlen)
- Konfigurieren Sie Ihren GKE-Cluster und die Anwendung mit Workload Identity, um Google Cloud-Dienste in GKE zu authentifizieren. Dadurch wird Ihr Kubernetes-Dienstkonto mit Ihrem Google-Dienstkonto verknüpft.
- Konfigurieren Sie Ihre Kubernetes-Bereitstellung so, dass sie auf das Kubernetes-Dienstkonto verweist. Legen Sie dazu das Feld
.spec.serviceAccountName
in der YAML-Datei Ihrer Kubernetes-Bereitstellung fest.
Wenn Sie an einer Anwendung arbeiten, die mit einer Cloud Code-Vorlage erstellt wurde, befindet sich diese Datei im Ordner „kubernetes-manifests“. - Wenn der Google Cloud-Dienst, auf den Sie zugreifen möchten, zusätzliche Rollen benötigt, gewähren Sie diese für das Google-Dienstkonto, das Sie zur Entwicklung Ihrer Anwendung verwenden:
- Wenn Sie auf ein Secret zugreifen möchten, folgen Sie den Schritten für Secret Manager, um die erforderlichen Rollen für Ihr Dienstkonto einzurichten.
- In der Anleitung zu Rollen werden IAM-Rollentypen beschrieben und die verfügbaren vordefinierten Rollen aufgeführt, die Sie Identitäten zuweisen können.
Cloud Run
- Erstellen Sie ein neues eindeutiges Dienstkonto für die Bereitstellung Ihrer Cloud Run-Anwendung über die Seite "Dienstkonten". Achten Sie darauf, dass Sie das Projekt auswählen, in dem das Secret gespeichert ist.
Zur Seite "Dienstkonten" - Wenn der Google Cloud-Dienst, auf den Sie zugreifen möchten, zusätzliche Rollen benötigt, weisen Sie ihm das Google-Dienstkonto zu, mit dem Sie Ihre Anwendung entwickeln.
Die Anleitung Weitere Informationen zu Rollen beschreibt die IAM-Rollentypen und listet die verfügbaren vordefinierten Rollen auf, denen Sie Identitäten zuweisen können. - Fügen Sie das Dienstkonto Ihrer Bereitstellungskonfiguration hinzu.
Rufen Sie dazu die Ausführungskonfiguration Cloud Run: Deploy auf, erweitern Sie den Abschnitt „Erweiterte Überarbeitungseinstellungen“ und füllen Sie das Feld „Dienstkonto“ mit Ihrem Dienstkonto aus.
Cloud Run
Je nach Umfang Ihres Projekts können Sie auswählen, wie Google Cloud-Dienste in GKE authentifiziert werden sollen:
- (Nur Entwicklung)
- Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
- Achten Sie darauf, dass Sie das Dienstkonto verwenden, das GKE standardmäßig verwendet, das Compute Engine-Standarddienstkonto, und dass für Zugriffsbereiche die Einstellung Uneingeschränkten Zugriff auf alle Cloud APIs erlauben (beide Einstellungen im Abschnitt Knotenpools > Sicherheit verfügbar) eingestellt ist.
Da das Compute-Engine-Dienstkonto von allen auf Ihrem Knoten bereitgestellten Arbeitslasten gemeinsam genutzt wird, überdimensioniert diese Methode die Berechtigungen und sollte nur für die Entwicklung verwendet werden. - Achten Sie darauf, dass Workload Identity in Ihrem Cluster nicht aktiviert ist. Dies geschieht unter Cluster > Sicherheit.
- Achten Sie darauf, dass Sie das Dienstkonto verwenden, das GKE standardmäßig verwendet, das Compute Engine-Standarddienstkonto, und dass für Zugriffsbereiche die Einstellung Uneingeschränkten Zugriff auf alle Cloud APIs erlauben (beide Einstellungen im Abschnitt Knotenpools > Sicherheit verfügbar) eingestellt ist.
- Weisen Sie dem Compute Engine-Standarddienstkonto die erforderlichen Rollen zu:
- Wenn Sie auf ein Secret zugreifen möchten, folgen Sie den Schritten für Secret Manager, um die erforderlichen Rollen für Ihr Dienstkonto einzurichten.
- Wenn das Compute Engine-Standarddienstkonto verwendet wird, wurden die richtigen IAM-Rollen möglicherweise bereits angewendet.
- In der Anleitung zu Rollen werden IAM-Rollentypen beschrieben und die verfügbaren vordefinierten Rollen aufgeführt, die Sie Identitäten zuweisen können.
- Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
- (für die Produktion empfohlen)
- GKE-Cluster und -Anwendung mit Workload Identity konfigurieren, um Google Cloud-Dienste in GKE zu authentifizieren Dadurch wird Ihr Kubernetes-Dienstkonto mit Ihrem Google-Dienstkonto verknüpft.
- Fügen Sie das Kubernetes-Dienstkonto Ihrer Bereitstellungskonfiguration hinzu.
Rufen Sie dazu die Ausführungskonfiguration Cloud Run: Deploy auf, erweitern Sie den Abschnitt „Erweiterte Überarbeitungseinstellungen“ und füllen Sie das Feld „Dienstkonto“ mit Ihrem Kubernetes-Dienstkonto aus.
- Wenn der Google Cloud-Dienst, auf den Sie zugreifen möchten, zusätzliche Rollen benötigt, gewähren Sie diese für das Google-Dienstkonto, das Sie zur Entwicklung Ihrer Anwendung verwenden:
- Wenn Sie auf ein Secret zugreifen möchten, folgen Sie den Schritten für Secret Manager, um die erforderlichen Rollen für Ihr Dienstkonto einzurichten.
- In der Anleitung zu Rollen werden IAM-Rollentypen beschrieben und die verfügbaren vordefinierten Rollen aufgeführt, die Sie Identitäten zuweisen können.
Remote-Entwicklung mit aktivierten Secret Manager-Berechtigungen
Wenn Sie aus der Ferne entwickeln, ein Dienstkonto zur Authentifizierung verwenden und Ihre Anwendung Secrets verwendet, müssen Sie zusätzlich zur Anleitung für die Remote-Entwicklung noch ein paar weitere Schritte ausführen. Durch diese Schritte wird Ihrem Google-Dienstkonto die Rolle zugewiesen, die für den Zugriff auf ein bestimmtes Secret Manager-Secret erforderlich ist:
Öffnen Sie das Feld „Secret Manager“ und wählen Sie das Secret aus, auf das Sie im Code zugreifen möchten.
Wechseln Sie zum Tab "Berechtigungen" und konfigurieren Sie die Berechtigungen Ihres Secrets mit dem Stiftsymbol Bearbeitungsberechtigung. Durch Anklicken des Stiftsymbols wird die Secret Manager-Konfigurationsseite für dieses Secret im Webbrowser geöffnet.
Wählen Sie in der Infoleiste der Cloud Console die Option Mitglied hinzufügen aus.
Weisen Sie Ihrem Dienstkonto die Rolle Secret Manager Secret Accessor zu.
Das Dienstkonto hat jetzt die Berechtigung, auf dieses Secret zuzugreifen.