En esta página, se describen varias formas de acceder a la CLI de gcloud. Google Cloud CLI es una herramienta de línea de comandos que puedes usar para la administración de Google Cloud. La mayoría de los servicios admiten la CLI de gcloud.
Si planeas usar bibliotecas cliente o herramientas de desarrollo de terceros que admitan las credenciales predeterminadas de la aplicación (ADC) en un entorno de desarrollo local, debes configurar las ADC en tu entorno local. Para obtener más información, consulta Configura las credenciales predeterminadas de la aplicación para un entorno de desarrollo local.
La forma en la que te autenticas y usas la CLI de gcloud depende del lugar en el que ejecutas la herramienta:
Entorno local
En la mayoría de los casos de uso, puedes usar tus credenciales de usuario para acceder a la CLI de gcloud, pero también puedes usar una cuenta de servicio.
Cuando accedes a la CLI de gcloud en un entorno local, la herramienta coloca los tokens de acceso y actualización en el directorio principal. Cualquier usuario con acceso al sistema de archivos puede usar esas credenciales. Si deseas obtener más información, consulta Mitiga la vulneración de tokens de OAuth en Google Cloud CLI.
En la siguiente tabla, se describen las opciones para acceder a la CLI de gcloud y cómo esto afecta las credenciales que usa la herramienta para autenticarse y autorizar a las APIs de Google.
Tipo de credencial | Comando de autenticación | Notas | Más información |
---|---|---|---|
Credenciales de usuario |
La CLI de gcloud usa tus credenciales de usuario para la autenticación y autorización de todas las APIs de Google. Para usar una cuenta de servicio con el fin de autorizar a las APIs de Google, usa la función identidad temporal como cuenta de servicio. |
||
gcloud auth login --login-file=WORKFORCE_IDENTITY_FEDERATION_LOGIN_CONFIGURATION_FILE
|
La federación de Workforce Identity permite que los usuarios administrados por un proveedor de identidad que no sean Google accedan a los recursos de Google Cloud. | ||
Cuenta de servicio |
gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE
|
La federación de identidades para cargas de trabajo permite que las cargas de trabajo que se ejecutan fuera de Google Cloud accedan a los recursos de Google Cloud. | Autentica una carga de trabajo |
gcloud auth login --cred-file=SERVICE_ACCT_KEY
|
No se recomienda usar este método, ya que el uso de claves de cuentas de servicio aumenta el riesgo. A fin de usar una cuenta de servicio para la autorización de las APIs de Google, accede a la CLI de gcloud con tus credenciales de usuario y, luego, usa la función identidad temporal como cuenta de servicio. |
Cloud Shell
Cuando usas Cloud Shell, no necesitas acceder a la CLI de gcloud, pero sí debes autorizar el uso de tu cuenta antes de usar cualquier herramienta de Google desde Cloud Shell. Después de hacerlo, la CLI de gcloud usa tus credenciales de usuario para acceder a las APIs de Google.
Para obtener más información, consulta Autoriza con Cloud Shell.
Recursos de procesamiento de Google Cloud
Cuando usas la CLI de gcloud en los recursos de procesamiento de Google Cloud, como las máquinas virtuales de Compute Engine, no necesitas inicializar ni acceder a la CLI de gcloud, ya que obtiene sus credenciales y la información de configuración del recurso de procesamiento de hosting mediante el servidor de metadatos.
Tipo de credencial | Comando de autenticación | Notas | Más información |
---|---|---|---|
Cuenta de servicio | No aplicable | La CLI de gcloud usa la cuenta de servicio conectada al recurso de procesamiento para la autenticación y autorización de todas las APIs de Google. | Servicios de Google Cloud que admiten la conexión de una cuenta de servicio |
Credenciales de la CLI de gcloud y credenciales de ADC
Cuando accedes a la CLI de gcloud, usas el comando gcloud auth login
para proporcionar tus credenciales de usuario, que la CLI de gcloud usa para la autenticación y autorización para administrar recursos y servicios de Google Cloud. Estas credenciales son tus credenciales de la CLI de gcloud.
Cuando usas la CLI de gcloud para proporcionar credenciales a ADC, usa el comando gcloud auth application-default login
. Este comando coloca tus credenciales en una ubicación conocida para que las use ADC en tu entorno local. Estas son tus credenciales de ADC locales.
Tus credenciales de ADC locales y tus credenciales de la CLI de gcloud son dos conjuntos distintos de credenciales. La CLI de gcloud no usa ADC para obtener credenciales.
En la siguiente tabla, se muestran los dos comandos y sus funciones:
Comando | Descripción |
---|---|
gcloud auth login
|
Genera credenciales de usuario que se usan para autenticar y autorizar el acceso a los servicios de Google Cloud. |
gcloud auth application-default login
|
Genera credenciales de usuario que se proporcionan a las credenciales predeterminadas de la aplicación para su uso en un entorno de desarrollo local. |
Por lo general, debes usar la misma cuenta para acceder a la CLI de gcloud y proporcionar credenciales de usuario a ADC, pero puedes usar cuentas diferentes si es necesario.
¿Qué sigue?
- Obtén más información sobre cómo ADC encuentra credenciales.
- Autentica para usar las bibliotecas cliente de Cloud.
- Explora la autenticación en Google.