Acesse os produtos e serviços do Google Cloud pelo seu código usando as APIs do Cloud. Essas APIs do Cloud expõem uma interface REST JSON simples que podem ser chamadas por meio de bibliotecas de cliente.
Neste documento, descrevemos como ativar as APIs do Cloud e adicionar bibliotecas de cliente do Cloud ao seu projeto.
Como procurar APIs do Cloud
Para explorar todas as APIs do Google Cloud disponíveis no seu ambiente de desenvolvimento integrado, siga estas etapas:
- Selecione Ferramentas > Cloud Code > Adicionar bibliotecas do Cloud e gerenciar APIs do Cloud.
- Expanda a árvore do explorador de APIs do Google Cloud para visualizar todas as APIs disponíveis. O explorador agrupa as APIs do Cloud por categoria. Também é possível procurar uma API específica usando a barra de pesquisa das APIs da Pesquisa Google.
- Clique em uma API para ver mais detalhes, como o status, instruções de instalação específicas da linguagem para as bibliotecas de cliente correspondentes e a documentação relevante.

Como ativar APIs do Cloud
Para ativar rapidamente as APIs do Cloud de um projeto usando os detalhes da API, siga estas etapas:
- Na visualização de detalhes da API Cloud, escolha um projeto do Google Cloud em que você quer ativar a API Cloud.
- Clique no botão Ativar API.
Depois que a API for ativada, você verá uma mensagem confirmando essa alteração.
Como adicionar as bibliotecas de cliente do Cloud
Para adicionar bibliotecas ao seu projeto no IntelliJ, siga estas etapas:
Para projetos Java Maven
- Selecione Ferramentas > Cloud Code > Adicionar bibliotecas do Cloud e gerenciar APIs do Cloud.
- Selecione o tipo de biblioteca de sua preferência na biblioteca de cliente do Google Cloud (recomendado) ou na biblioteca de Java Spring do GCP.
- No menu suspenso Módulo, selecione o módulo ao qual você quer adicionar a biblioteca.
- Clique em Adicionar dependência do Maven para adicionar BOM e biblioteca de cliente ao seu projeto.
A caixa de diálogo Adicionar bibliotecas do Cloud mostra as bibliotecas compatíveis.

Para todos os outros projetos
- Selecione Ferramentas > Cloud Code > Adicionar bibliotecas do Cloud e gerenciar APIs do Cloud.
- Instale a API seguindo as instruções de instalação listadas na página de detalhes da API para o idioma de sua preferência.
A caixa de diálogo Adicionar bibliotecas do Cloud mostra as bibliotecas compatíveis.

Como configurar a autenticação
Depois de ativar as APIs necessárias e adicionar as bibliotecas de cliente necessárias, configure o aplicativo para que ele seja autenticado com sucesso. A configuração depende do seu tipo de desenvolvimento e da plataforma em que você está executando.
Depois de concluir as etapas de autenticação relevantes, seu aplicativo poderá se autenticar e estar pronto para ser implantado.
Desenvolvimento local
Máquina local
- O Cloud Code garante que seu Application Default Credentials (ADC) esteja
definido se você tiver feito login no Google Cloud por meio do IDE.
Se você fez login no Google Cloud fora do seu ambiente de desenvolvimento integrado (por exemplo, por meio da ferramenta de linha de comando gcloud), executegcloud auth login --update-adc
para definir o ADC. Isso também permite que as bibliotecas de cliente do Google Cloud encontrem seu ADC para autenticação.
minikube
- O Cloud Code garante que seu Application Default Credentials (ADC) esteja
definido se você tiver feito login no Google Cloud por meio do IDE.
Se você fez login no Google Cloud fora do seu ambiente de desenvolvimento integrado (por exemplo, por meio da ferramenta de linha de comando gcloud), executegcloud auth login --update-adc
para definir o ADC. Isso permite que o minikube encontre o ADC para autenticação. - Inicie o minikube com
minikube start --addons gcp-auth
. Isso ativará o ADC nos pods. Para um guia detalhado sobre a autenticação do minikube no Google Cloud, consulte os documentos do minikube gcp-auth.
Outros clusters do K8s locais
- O Cloud Code garante que seu Application Default Credentials (ADC) esteja
definido se você tiver feito login no Google Cloud por meio do IDE.
Se você fez login no Google Cloud fora do seu ambiente de desenvolvimento integrado (por exemplo, por meio da ferramenta de linha de comando gcloud), executegcloud auth login --update-adc
para definir o ADC. - Monte o diretório
gcloud
local nos pods do Kubernetes editando a especificação do pod nos manifestos dele ou da implantação, para que as bibliotecas de cliente do Google Cloud possam encontrar suas credenciais. Exemplo de configuração de pod do Kubernetes:apiVersion: v1 kind: Pod metadata: name: my-app labels: name: my-app spec: containers: - name: my-app image: gcr.io/google-containers/busybox ports: - containerPort: 8080 volumeMounts: - mountPath: /root/.config/gcloud name: gcloud-volume volumes: - name: gcloud-volume hostPath: path: /path/to/home/.config/gcloud
Cloud Run
- O Cloud Code garante que seu Application Default Credentials (ADC) esteja
definido se você tiver feito login no Google Cloud por meio do IDE.
Se você tiver feito login no Google Cloud fora do seu ambiente de desenvolvimento integrado (por exemplo, usando a ferramenta de linha de comando gcloud), será necessário executargcloud auth login --update-adc
para definir seu ADC. Isso permite que o ambiente simulado local do Cloud Run encontre o ADC para autenticação.
Desenvolvimento remoto
Google Kubernetes Engine
Dependendo do escopo do seu projeto, é possível escolher como autenticar os serviços do Google Cloud no GKE:
- (Somente desenvolvimento)
- Crie um cluster do GKE com as seguintes configurações:
- Verifique se você está usando a conta de serviço que o GKE usa por padrão, a conta de serviço padrão do Compute Engine e se os Escopos de acesso estão definidos em Permitir acesso completo ao
todas as APIs do Cloud (ambos as configurações acessíveis na seção Pools de nós > Segurança).
Como a conta de serviço do Compute Engine é compartilhada por todas as cargas de trabalho implantadas no nó, esse método provisiona permissões em excesso e só deve ser usado para desenvolvimento. - Verifique se a identidade da carga de trabalho não está ativada no cluster (na seção Cluster > Segurança).
- Verifique se você está usando a conta de serviço que o GKE usa por padrão, a conta de serviço padrão do Compute Engine e se os Escopos de acesso estão definidos em Permitir acesso completo ao
todas as APIs do Cloud (ambos as configurações acessíveis na seção Pools de nós > Segurança).
- Atribua os papéis necessários à conta de serviço padrão do Compute Engine:
- Se você estiver tentando acessar um secret, siga estas etapas específicas do Gerenciador de secrets para configurar os papéis necessários na sua conta de serviço.
- Se a conta de serviço padrão do Compute Engine estiver em uso, os papéis corretos do IAM talvez já estejam aplicados.
Para ver uma lista de tipos de papéis do IAM e papéis predefinidos que você pode atribuir a identidades, consulte o guia Como entender os papéis.
Veja as etapas para conceder os papéis em Como conceder, alterar e revogar acesso a recursos.
- Crie um cluster do GKE com as seguintes configurações:
- (Recomendado para produção)
- Configure seu cluster e aplicativo do GKE com a Identidade da carga de trabalho para autenticar os serviços do Google Cloud no GKE. Isso associa sua conta de serviço do Kubernetes à sua conta de serviço do Google.
- Configure a implantação do Kubernetes para referenciar a conta de
serviço do Kubernetes definindo o campo
.spec.serviceAccountName
no arquivo YAML de implantação do Kubernetes.
Se você estiver trabalhando em um aplicativo criado a partir de um modelo do Cloud Code, esse arquivo estará localizado na pasta kubernetes-manifests. - Se o serviço do Google Cloud que você está tentando acessar exigir papéis adicionais, conceda-os à conta de serviço do Google que você está usando para desenvolver seu app:
- Se você estiver tentando acessar um secret, siga estas etapas específicas do Gerenciador de secrets para configurar os papéis necessários na sua conta de serviço.
Para ver uma lista de tipos de papéis do IAM e papéis predefinidos que você pode atribuir a identidades, consulte o guia Como entender os papéis.
Veja as etapas para conceder os papéis em Como conceder, alterar e revogar acesso a recursos.
Cloud Run
- Para criar uma nova conta de serviço exclusiva para implantar o aplicativo do Cloud Run, na página "Contas de serviço", selecione o projeto em que seu secret está armazenado.
- Clique em Criar conta de serviço.
- Na caixa de diálogo Criar conta de serviço, insira um nome descritivo para a conta.
- Altere o ID da conta de serviço para um valor exclusivo e reconhecível e clique em Criar.
- Se o serviço do Google Cloud que você está tentando acessar exigir outros papéis, conceda a eles, clique em Continuar e em Concluído.
- Para adicionar sua conta de serviço do Kubernetes à configuração de implantação, acesse a configuração de execução do Cloud Run: Deploy, expanda a seção Configurações avançadas de revisão e: Especifique sua conta de serviço no campo Conta de serviço.
Cloud Run
Dependendo do escopo do seu projeto, é possível escolher como autenticar os serviços do Google Cloud no GKE:
- (Somente desenvolvimento)
- Crie um cluster do GKE com as seguintes configurações:
- Verifique se você está usando a conta de serviço que o GKE usa por padrão, a conta de serviço padrão do Compute Engine e se os Escopos de acesso estão definidos em Permitir acesso completo ao
todas as APIs do Cloud (ambos as configurações acessíveis na seção Pools de nós > Segurança).
Como a conta de serviço do Compute Engine é compartilhada por todas as cargas de trabalho implantadas no nó, esse método provisiona permissões em excesso e só deve ser usado para desenvolvimento.
- Verifique se a identidade da carga de trabalho não está ativada no cluster (na seção Cluster > Segurança).
- Verifique se você está usando a conta de serviço que o GKE usa por padrão, a conta de serviço padrão do Compute Engine e se os Escopos de acesso estão definidos em Permitir acesso completo ao
todas as APIs do Cloud (ambos as configurações acessíveis na seção Pools de nós > Segurança).
- Atribua os papéis necessários à conta de serviço padrão do Compute Engine:
- Se você estiver tentando acessar um secret, siga estas etapas específicas do Gerenciador de secrets para configurar os papéis necessários na sua conta de serviço.
- Se a conta de serviço padrão do Compute Engine estiver em uso, os papéis corretos do IAM talvez já estejam aplicados.
Para ver uma lista de tipos de papéis do IAM e papéis predefinidos que você pode atribuir a identidades, consulte o guia Como entender os papéis.
Veja as etapas para conceder os papéis em Como conceder, alterar e revogar acesso a recursos.
- Crie um cluster do GKE com as seguintes configurações:
- (Recomendado para produção)
- Configure seu cluster e aplicativo do GKE com a Identidade da carga de trabalho para autenticar os serviços do Google Cloud no GKE. Isso associa sua conta de serviço do Kubernetes à sua conta de serviço do Google.
- Para adicionar sua conta de serviço do Kubernetes à configuração de implantação, navegue até a configuração de execução Cloud Run:Deploy e expanda a seção Configurações avançadas de revisão. Em seguida, especifique sua conta de serviço do Kubernetes no campo Service Account.
- Se o serviço do Google Cloud que você está tentando acessar exigir papéis adicionais, conceda-os à conta de serviço do Google que você está usando para desenvolver seu app:
- Se você estiver tentando acessar um secret, siga estas etapas específicas do Gerenciador de secrets para configurar os papéis necessários na sua conta de serviço.
Para ver uma lista de tipos de papéis do IAM e papéis predefinidos que você pode atribuir a identidades, consulte o guia Como entender os papéis.
Veja as etapas para conceder os papéis em Como conceder, alterar e revogar acesso a recursos.
Desenvolvimento remoto com permissões do Gerenciador de secrets ativadas
Se você estiver desenvolvendo remotamente, usando uma conta de serviço para autenticação, e seu aplicativo usar secrets, conclua mais algumas etapas além das instruções de desenvolvimento remoto. Essas etapas atribuem à sua conta de serviço do Google o papel necessário para acessar um determinado secret do Gerenciador de secrets:
Abra o painel Secret Manager clicando na guia Secret Manager na barra lateral direita do Cloud Code.
Selecione o secret que você quer acessar no código.
Alterne para a guia "Permissões" e configure as permissões de seu secret clicando no ícone de lápis Editar permissão. Clicar no ícone de lápis abre a página de configuração do Secret Manager para esse secret no navegador da Web.
No Console do Cloud, clique em Mostrar painel de informações e em Adicionar membro.
Atribua o papel Acessador de secrets do Gerenciador de secrets à sua conta de serviço.
Sua conta de serviço agora tem permissão para acessar esse secret específico.