Funktionsweise von Standardanmeldedaten für Anwendungen

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite werden die Standorte beschrieben, an denen Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) nach Anmeldedaten sucht. Wenn Sie wissen, wie ADC funktioniert, können Sie nachvollziehen, welche Anmeldedaten ADC verwendet und wie sie gefunden werden.

ADC ist eine Strategie, die von Cloud-Clientbibliotheken und Google API-Clientbibliotheken verwendet wird, um Anmeldedaten automatisch basierend auf der Anwendungsumgebung zu finden. Diese Anmeldedaten werden zum Authentifizieren bei den Google Cloud APIs verwendet. Wenn Sie ADC einrichten und eine Clientbibliothek verwenden, kann Ihr Code in einer Entwicklungs- oder Produktionsumgebung ausgeführt werden, ohne dass sich die Authentifizierung Ihrer Anwendung bei Google Cloud-Diensten und APIs ändert.

Informationen zu den besten Möglichkeiten für die Bereitstellung von Anmeldedaten für ADC finden Sie unter Anmeldedaten für Standardanmeldedaten für Anwendungen bereitstellen.

Bestellung suchen

ADC sucht an folgenden Standorten nach Anmeldedaten:

  1. GOOGLE_APPLICATION_CREDENTIALS Umgebungsvariable
  2. Mit der Google Cloud CLI eingerichtete Nutzeranmeldedaten
  3. Das angehängte Dienstkonto, wie vom Metadatenserver bereitgestellt

Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS

Sie können die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS verwenden, um den Speicherort einer JSON-Datei mit Anmeldedaten anzugeben. Diese JSON-Datei kann einen der folgenden Dateitypen haben:

  • Eine Konfigurationsdatei für Anmeldedaten für die Workload Identity-Föderation

    Mit der Workload Identity-Föderation können Sie einen externen Identitätsanbieter für den Zugriff auf Google Cloud-Ressourcen verwenden. Weitere Informationen finden Sie in der Dokumentation zu Identitäts- und Zugriffsverwaltung (IAM) unter Mit Clientbibliotheken, der gcloud CLI oder Terraform authentifizieren.

  • Ein Dienstkontoschlüssel

    Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar und werden nicht empfohlen. Im Gegensatz zu den anderen Dateitypen mit Anmeldedaten können manipulierte Dienstkontoschlüssel von einem böswilligen Akteur ohne zusätzliche Informationen verwendet werden. Weitere Informationen finden Sie unter Best Practices für die Verwendung und Verwaltung von Dienstkontoschlüsseln.

Mit der gcloud CLI eingerichtete Nutzeranmeldedaten

Mit dem Befehl gcloud auth application-default login können Sie ADC einrichten, um die Anmeldedaten Ihres Google-Kontos zu verwenden. Mit diesem Befehl wird eine JSON-Datei mit Ihren Anmeldedaten an einem bekannten Speicherort in Ihrem Dateisystem abgelegt. Der Speicherort hängt von Ihrem Betriebssystem ab:

  • Linux, macOS: $HOME/.config/gcloud/application_default_credentials.json
  • Windows: %APPDATA%\gcloud\application_default_credentials.json

Weitere Informationen zur Verwendung der gcloud CLI und der ADC finden Sie unter Arten von gcloud-Anmeldedaten.

Das angehängte Dienstkonto

Bei vielen Google Cloud-Diensten können Sie ein Dienstkonto anhängen, mit dem Anmeldedaten für den Zugriff auf Google Cloud APIs bereitgestellt werden können. Wenn ADC keine Anmeldedaten findet, die es entweder in der Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS oder am bekannten Speicherort für Anmeldedaten des Google-Kontos verwenden kann, wird der Metadatenserver verwendet. um Anmeldedaten für den Dienst abzurufen, in dem der Code ausgeführt wird.

Wenn Ihre Anwendung auf einer Google Cloud-Ressource ausgeführt wird, die das Anhängen eines Dienstkontos unterstützt, sollten Sie mit dem angehängten Dienstkonto Anmeldedaten bereitstellen. So verwenden Sie das angehängte Dienstkonto:

  1. Erstellen Sie ein vom Nutzer verwaltetes Dienstkonto.
  2. Gewähren Sie diesem Dienstkonto die möglichen IAM-Rollen mit den geringsten Berechtigungen.
  3. Hängen Sie das Dienstkonto an die Ressource an, in der Ihr Code ausgeführt wird.

Diese Konfiguration wird für Anwendungen empfohlen, die in der Produktion ausgeführt werden.

Informationen zum Anhängen eines Dienstkontos finden Sie unter Dienstkonto an eine Ressource anhängen. Informationen zum Ermitteln der erforderlichen IAM-Rollen für Ihr Dienstkonto finden Sie unter Vordefinierte Rollen auswählen.

Nächste Schritte