クライアント ライブラリを使用して認証する

このページでは、クライアント ライブラリとアプリケーションのデフォルト認証情報を使用して Google API にアクセスする方法について説明します。

クライアント ライブラリを使用すると、サポートされている言語を使用して、Google Cloud API に簡単にアクセスできます。 Google Cloud API は、サーバーにリクエストを送信して直接使用することもできますが、クライアント ライブラリを使用すると、記述するコードの量を大幅に削減できます。クライアント ライブラリでは、アプリケーションのデフォルト認証情報(ADC)をサポートしているため、この方法は認証処理で非常に効果的です。

API キーを使用する場合、ADC は使用しません。詳しくは、クライアント ライブラリでの API キーの使用をご覧ください。

クライアント ライブラリでアプリケーションのデフォルト認証情報を使用する

アプリケーションのデフォルト認証情報を使用してアプリケーションの認証を行うには、まず、アプリケーションが実行されている環境に対して ADC を設定する必要があります。クライアント ライブラリを使用してクライアントを作成すると、クライアント ライブラリは、ADC に指定した認証情報を自動的にチェックし、コードで使用する API の認証に使用します。アプリケーションでトークンを明示的に認証または管理する必要はありません。これらの要件は認証ライブラリによって自動的に管理されます。

ローカル開発環境では、gcloud CLI でユーザー認証情報またはサービス アカウントの権限借用を使用して ADC を設定できます。本番環境では、サービス アカウントを接続して ADC を設定します。

クライアントの作成例

次のコードサンプルでは、Cloud Storage サービスのクライアントを作成します。実際のコードではさまざまなクライアントが必要になりますが、ここでは、認証を明示的に行わずに使用できるクライアントの作成を目的としているため、このようなコードサンプルになっています。

次のサンプルを実行する前に、次の手順を完了する必要があります。

Go

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/storage"
	"google.golang.org/api/iterator"
)

// authenticateImplicitWithAdc uses Application Default Credentials
// to automatically find credentials and authenticate.
func authenticateImplicitWithAdc(w io.Writer, projectId string) error {
	// projectId := "your_project_id"

	ctx := context.Background()

	// NOTE: Replace the client created below with the client required for your application.
	// Note that the credentials are not specified when constructing the client.
	// The client library finds your credentials using ADC.
	client, err := storage.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("NewClient: %w", err)
	}
	defer client.Close()

	it := client.Buckets(ctx, projectId)
	for {
		bucketAttrs, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			return err
		}
		fmt.Fprintf(w, "Bucket: %v\n", bucketAttrs.Name)
	}

	fmt.Fprintf(w, "Listed all storage buckets.\n")

	return nil
}

Java


import com.google.api.gax.paging.Page;
import com.google.cloud.storage.Bucket;
import com.google.cloud.storage.Storage;
import com.google.cloud.storage.StorageOptions;
import java.io.IOException;

public class AuthenticateImplicitWithAdc {

  public static void main(String[] args) throws IOException {
    // TODO(Developer):
    //  1. Before running this sample,
    //  set up Application Default Credentials as described in
    //  https://cloud.google.com/docs/authentication/external/set-up-adc
    //  2. Replace the project variable below.
    //  3. Make sure you have the necessary permission to list storage buckets
    //  "storage.buckets.list"
    String projectId = "your-google-cloud-project-id";
    authenticateImplicitWithAdc(projectId);
  }

  // When interacting with Google Cloud Client libraries, the library can auto-detect the
  // credentials to use.
  public static void authenticateImplicitWithAdc(String project) throws IOException {

    // *NOTE*: Replace the client created below with the client required for your application.
    // Note that the credentials are not specified when constructing the client.
    // Hence, the client library will look for credentials using ADC.
    //
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests.
    Storage storage = StorageOptions.newBuilder().setProjectId(project).build().getService();

    System.out.println("Buckets:");
    Page<Bucket> buckets = storage.list();
    for (Bucket bucket : buckets.iterateAll()) {
      System.out.println(bucket.toString());
    }
    System.out.println("Listed all storage buckets.");
  }
}

Node.js

/**
 * TODO(developer):
 *  1. Uncomment and replace these variables before running the sample.
 *  2. Set up ADC as described in https://cloud.google.com/docs/authentication/external/set-up-adc
 *  3. Make sure you have the necessary permission to list storage buckets "storage.buckets.list"
 *    (https://cloud.google.com/storage/docs/access-control/iam-permissions#bucket_permissions)
 */
// const projectId = 'YOUR_PROJECT_ID';

const {Storage} = require('@google-cloud/storage');

async function authenticateImplicitWithAdc() {
  // This snippet demonstrates how to list buckets.
  // NOTE: Replace the client created below with the client required for your application.
  // Note that the credentials are not specified when constructing the client.
  // The client library finds your credentials using ADC.
  const storage = new Storage({
    projectId,
  });
  const [buckets] = await storage.getBuckets();
  console.log('Buckets:');

  for (const bucket of buckets) {
    console.log(`- ${bucket.name}`);
  }

  console.log('Listed all storage buckets.');
}

authenticateImplicitWithAdc();

PHP

// Imports the Cloud Storage client library.
use Google\Cloud\Storage\StorageClient;

/**
 * Authenticate to a cloud client library using a service account implicitly.
 *
 * @param string $projectId The Google project ID.
 */
function auth_cloud_implicit($projectId)
{
    $config = [
        'projectId' => $projectId,
    ];

    # If you don't specify credentials when constructing the client, the
    # client library will look for credentials in the environment.
    $storage = new StorageClient($config);

    # Make an authenticated API request (listing storage buckets)
    foreach ($storage->buckets() as $bucket) {
        printf('Bucket: %s' . PHP_EOL, $bucket->name());
    }
}

Python


from google.cloud import storage


def authenticate_implicit_with_adc(project_id="your-google-cloud-project-id"):
    """
    When interacting with Google Cloud Client libraries, the library can auto-detect the
    credentials to use.

    // TODO(Developer):
    //  1. Before running this sample,
    //  set up ADC as described in https://cloud.google.com/docs/authentication/external/set-up-adc
    //  2. Replace the project variable.
    //  3. Make sure that the user account or service account that you are using
    //  has the required permissions. For this sample, you must have "storage.buckets.list".
    Args:
        project_id: The project id of your Google Cloud project.
    """

    # This snippet demonstrates how to list buckets.
    # *NOTE*: Replace the client created below with the client required for your application.
    # Note that the credentials are not specified when constructing the client.
    # Hence, the client library will look for credentials using ADC.
    storage_client = storage.Client(project=project_id)
    buckets = storage_client.list_buckets()
    print("Buckets:")
    for bucket in buckets:
        print(bucket.name)
    print("Listed all storage buckets.")

Ruby

def authenticate_implicit_with_adc project_id:
  # The ID of your Google Cloud project
  # project_id = "your-google-cloud-project-id"

  ###
  # When interacting with Google Cloud Client libraries, the library can auto-detect the
  # credentials to use.
  # TODO(Developer):
  #   1. Before running this sample,
  #      set up ADC as described in https://cloud.google.com/docs/authentication/external/set-up-adc
  #   2. Replace the project variable.
  #   3. Make sure that the user account or service account that you are using
  #      has the required permissions. For this sample, you must have "storage.buckets.list".
  ###

  require "google/cloud/storage"

  # This sample demonstrates how to list buckets.
  # *NOTE*: Replace the client created below with the client required for your application.
  # Note that the credentials are not specified when constructing the client.
  # Hence, the client library will look for credentials using ADC.
  storage = Google::Cloud::Storage.new project_id: project_id
  buckets = storage.buckets
  puts "Buckets: "
  buckets.each do |bucket|
    puts bucket.name
  end
  puts "Plaintext: Listed all storage buckets."
end

外部ソースの認証情報構成を使用する場合のセキュリティ要件

通常、認証情報の構成は、gcloud CLI コマンドを使用するか、 Google Cloud コンソールを使用して生成します。たとえば、gcloud CLI を使用してローカル ADC ファイルまたはログイン構成ファイルを生成できます。同様に、 Google Cloud コンソールを使用して、サービス アカウント キーを作成してダウンロードすることもできます。

ただし、一部のユースケースでは、認証情報の構成が外部エンティティから提供されます。これらの認証情報の構成は、Google API の認証に使用することを目的としています。

認証情報の構成には、認証ライブラリがトークンの取得に使用するエンドポイントとファイルパスが含まれる場合があります。外部ソースからの認証情報構成を受け入れる場合、構成を使用する前に構成を検証する必要があります。構成を検証しないと、悪意のある攻撃者が認証情報を使用してシステムとデータを侵害する可能性があります。

外部ソースの認証情報の構成を検証する

外部認証情報を検証する方法は、アプリケーションが受け入れる認証情報の種類によって異なります。

サービス アカウント キーを検証する

アプリケーションがサービス アカウント キーのみを受け入れる場合、次の例に示すように、サービス アカウント キーに固有の認証情報ローダを使用します。タイプ固有の認証情報ローダーは、サービス アカウント キーに存在するフィールドのみを解析します。これにより、脆弱性が公開されることはありません。

C#

var saCredential = ServiceAccountCredential.FromServiceAccountData(stream);

C++

auto cred = google::cloud::MakeServiceAccountCredentials(json)

Java

ServiceAccountCredentials credentials =
      ServiceAccountCredentials.fromJson(json, new HttpTransportFactory());

Node.js

const keys = JSON.parse(json_input)
const authClient = JWT.fromJSON(keys);

PHP

cred = new Google\Auth\Credentials\ServiceAccountCredentials($scope, $jsonKey);

Python

cred = service_account.Credentials.from_service_account_info(json_data)

Ruby

creds = Google::Auth::ServiceAccountCredentials.make_creds(json_key_io: json_stream)

タイプ固有の認証情報ローダを使用できない場合は、type フィールドの値が service_account であることを確認して認証情報を検証します。type フィールドの値が他の値の場合は、サービス アカウント キーを使用しないでください。

他の認証情報の構成を検証する

アプリケーションがサービス アカウント キー以外の任意の種類の認証情報を受け入れる場合は、追加の検証を行う必要があります。他のタイプの認証情報構成の例には、ADC 認証情報ファイルWorkload Identity 連携認証情報ファイルWorkforce Identity 連携ログイン構成ファイルなどがあります。

次の表に、認証情報に存在する場合に検証が必要なフィールドを示します。これらのフィールドは、すべての認証情報の構成に存在するわけではありません。

フィールド 目的 期待される価値
service_account_impersonation_url 認証ライブラリは、このフィールドを使用してエンドポイントにアクセスし、権限借用されるサービス アカウントのアクセス トークンを生成します。 https://iamcredentials.googleapis.com.com/v1/projects/-/serviceAccounts/service account email:generateAccessToken
token_url 認証ライブラリは、外部トークンをこのエンドポイントに送信して、連携アクセス トークンと交換します。 https://sts.googleapis.com.com/v1/token
credential_source.file 認証ライブラリは、このフィールドで指定された場所にあるファイルから外部トークンを読み取り、token_url エンドポイントに送信します。 外部トークンを含むファイルのパス。このパスは認識できるはずです。
credential_source.url 外部トークンを返すエンドポイント。認証ライブラリは、この URL にリクエストを送信し、token_url エンドポイントにレスポンスを送信します。

次のいずれかの項目:

  • クラウド プロバイダが提供する既知のエンドポイント。
  • トークンを提供するように明示的に設定したエンドポイント。
credential_source.executable.command GOOGLE_EXTERNAL_ACCOUNT_ALLOW_EXECUTABLES 環境変数が 1 に設定されている場合、認証ライブラリはこのコマンドまたは実行可能ファイルを実行します。 外部トークンを返す実行可能ファイルまたはコマンド。このコマンドを認識し、安全であることを確認する必要があります。
credential_source.aws.url 認証ライブラリは、この URL にリクエストを発行して AWS セキュリティ トークンを取得します。

次のいずれかの正確な値:

  • http://169.254.169.254/latest/meta-data/iam/security-credentials
  • http://[fd00:ec2::254]/latest/meta-data/iam/security-credentials
credential_source.aws.region_url 認証ライブラリは、この URL にリクエストを発行して、アクティブな AWS リージョンを取得します。

次のいずれかの正確な値:

  • http://169.254.169.254/latest/meta-data/placement/availability-zone
  • http://[fd00:ec2::254]/latest/meta-data/placement/availability-zone
credential_source.aws.imdsv2_session_token_url 認証ライブラリは、この URL にリクエストを発行して AWS セッション トークンを取得します。

次のいずれかの正確な値:

  • http://169.254.169.254/latest/api/token
  • http://[fd00:ec2::254]/latest/api/token

次のステップ