Fonctionnement des identifiants par défaut de l'application

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page décrit les emplacements dans lesquels les ADC (Identifiants par défaut de l'application) recherchent des identifiants. Comprendre le fonctionnement des ADC peut vous aider à comprendre les identifiants utilisés par ADC et le procédé utilisé pour les trouver.

Les identifiants par défaut de l'application (ADC) sont une stratégie utilisée par les bibliothèques clientes Cloud et les bibliothèques clientes des API Google, permettant de trouver automatiquement des identifiants en fonction de l'environnement d'application et de les utiliser pour s'authentifier auprès des API Google Cloud. Lorsque vous configurez la stratégie ADC et utilisez une bibliothèque cliente, votre code peut s'exécuter dans un environnement de développement ou bien de production, sans devoir modifier la manière dont votre application s'authentifie auprès des services et des API Google Cloud.

Pour connaître les meilleures façons de fournir des identifiants aux ADC, consultez la section Fournir des identifiants aux ADC (Identifiants par défaut de l'application).

Recherchez une commande

L'ADC recherche les identifiants dans les emplacements suivants:

  1. Variable d'environnement GOOGLE_APPLICATION_CREDENTIALS
  2. Identifiants utilisateur configurés avec Google Cloud CLI
  3. Compte de service associé, tel que fourni par le serveur de métadonnées

Variable d'environnement GOOGLE_APPLICATION_CREDENTIALS

Vous pouvez utiliser la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS pour indiquer l'emplacement d'un fichier JSON contenant les identifiants. Ce fichier JSON peut correspondre à l'un des types de fichiers suivants:

  • Un fichier de configuration des identifiants pour la fédération d'identité de charge de travail

    La fédération d'identité de charge de travail vous permet d'utiliser un fournisseur d'identité externe pour accéder aux ressources Google Cloud. Pour en savoir plus, consultez la section S'authentifier à l'aide de bibliothèques clientes, de la CLI gcloud ou de Terraform dans la documentation sur la gestion de l'authentification et des accès (IAM).

  • Une clé de compte de service

    Les clés de compte de service créent un risque pour la sécurité et ne sont pas recommandées. Contrairement aux autres types de fichiers d'identifiants, les clés de compte de service compromises peuvent être utilisées par un individu malveillant sans aucune information supplémentaire. Pour plus d'informations, consultez la section Bonnes pratiques pour l'utilisation et la gestion des clés de compte de service.

Identifiants utilisateur configurés avec gcloud CLI

Vous pouvez configurer l'ADC pour utiliser vos identifiants de compte Google en exécutant la commande gcloud auth application-default login. Cette commande place un fichier JSON contenant vos identifiants dans un emplacement connu de votre système de fichiers. L'emplacement de ce fichier dépend de votre système d'exploitation :

  • Linux, macOS : $HOME/.config/gcloud/application_default_credentials.json
  • Windows : %APPDATA%\gcloud\application_default_credentials.json

Pour en savoir plus sur l'utilisation de gcloud CLI et de l'ADC, consultez la section Types d'identifiants gcloud.

Compte de service associé

De nombreux services Google Cloud vous permettent d'associer un compte de service qui peut être utilisé pour fournir des identifiants pour accéder aux API Google Cloud. Si l'ADC ne trouve pas les identifiants qu'il peut utiliser dans la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS ou l'emplacement bien connu des identifiants de compte Google, il utilise le serveur de métadonnées pour obtenir les identifiants du service sur lequel le code est exécuté.

Si votre application s'exécute sur une ressource Google Cloud compatible avec l'association d'un compte de service, vous devez utiliser le compte de service associé pour fournir des identifiants. Pour utiliser le compte de service associé, procédez comme suit :

  1. Créez un compte de service géré par l'utilisateur.
  2. Attribuez à ce compte de service les rôles IAM offrant le niveau d'accès le plus faible possible.
  3. Associez le compte de service à la ressource où votre code est exécuté.

Cette configuration est recommandée pour les applications exécutées en production.

Pour obtenir de l'aide sur l'association d'un compte de service, consultez la section Associer un compte de service à une ressource. Pour déterminer les rôles IAM requis pour votre compte de service, consultez la section Choisir des rôles prédéfinis.

Étapes suivantes