Come funzionano le credenziali predefinite dell'applicazione

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina vengono indicate le posizioni in cui le credenziali predefinite dell'applicazione (ADC) cercano le credenziali. Comprendere come funziona ADC può aiutarti a comprendere quali credenziali sta utilizzando ADC e in che modo le trova.

ADC è una strategia utilizzata dalle librerie client Cloud e dalle librerie client delle API di Google per trovare automaticamente le credenziali in base all'ambiente dell'applicazione e utilizzarle per l'autenticazione nelle API Google Cloud. Quando configuri ADC e utilizzi una libreria client, il codice può essere eseguito in un ambiente di sviluppo o di produzione senza modificare l'autenticazione dell'applicazione nei servizi e nelle API Google Cloud.

Per informazioni sui modi migliori per fornire le credenziali ad ADC, consulta Fornire le credenziali per le credenziali predefinite dell'applicazione.

Cerca ordine

ADC cerca le credenziali nelle seguenti posizioni:

  1. Variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS
  2. Credenziali utente configurate con Google Cloud CLI
  3. L'account di servizio associato, come fornito dal server di metadati

Variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS

Puoi utilizzare la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS per fornire la posizione di un file JSON delle credenziali. Questo file JSON può essere uno dei seguenti tipi di file:

  • Un file di configurazione delle credenziali per la federazione delle identità per i carichi di lavoro

    La federazione delle identità per i carichi di lavoro consente di utilizzare un provider di identità esterno per accedere alle risorse Google Cloud. Per ulteriori informazioni, consulta la sezione relativa all'autenticazione tramite librerie client, l'interfaccia a riga di comando gcloud o Terraform nella documentazione di Identity and Access Management (IAM).

  • Una chiave dell'account di servizio

    Le chiavi dell'account di servizio rappresentano un rischio per la sicurezza e non sono consigliate. A differenza degli altri tipi di file delle credenziali, le chiavi degli account di servizio compromesse possono essere utilizzate da utenti malintenzionati senza informazioni aggiuntive. Per ulteriori informazioni, consulta le best practice per l'utilizzo e la gestione delle chiavi degli account di servizio.

Credenziali utente configurate con l'interfaccia a riga di comando gcloud

Puoi configurare ADC in modo che utilizzi le credenziali del tuo Account Google eseguendo il comando gcloud auth application-default login. Questo comando posiziona un file JSON contenente le tue credenziali in una posizione nota del tuo file system. La posizione dipende dal sistema operativo:

  • Linux, macOS: $HOME/.config/gcloud/application_default_credentials.json
  • Windows: %APPDATA%\gcloud\application_default_credentials.json

Per ulteriori informazioni sull'utilizzo di gcloud CLI e ADC, vedi Tipi di credenziali gcloud.

L'account di servizio associato

Molti servizi Google Cloud consentono di collegare un account di servizio che può essere utilizzato per fornire le credenziali per l'accesso alle API Google Cloud. Se ADC non trova le credenziali che può utilizzare nella variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS o nella posizione nota per le credenziali dell'Account Google, utilizza il server di metadati per ottenere le credenziali per il servizio in cui il codice è in esecuzione.

Se la tua applicazione è in esecuzione su una risorsa Google Cloud che supporta il collegamento di un account di servizio, devi utilizzare l'account di servizio associato per fornire le credenziali. Per utilizzare l'account di servizio associato:

  1. Creare un account di servizio gestito dall'utente.
  2. Concedi a tale account di servizio i ruoli IAM con privilegi minimi.
  3. Collega l'account di servizio alla risorsa in cui è in esecuzione il codice.

Questa configurazione è consigliata per le applicazioni in esecuzione in produzione.

Per informazioni su come collegare un account di servizio, vedi Collegare un account di servizio a una risorsa. Per assistenza sulla determinazione dei ruoli IAM richiesti per il tuo account di servizio, consulta Scegliere i ruoli predefiniti.

Passaggi successivi