S'authentifier pour utiliser gcloud CLI

Cette page décrit plusieurs façons de se connecter à gcloud CLI. Google Cloud CLI est un outil de ligne de commande qui vous permet d'administrer Google Cloud. La plupart des services sont compatibles avec gcloud CLI.

Si vous envisagez d'utiliser des bibliothèques clientes ou des outils de développement tiers compatibles avec les identifiants par défaut de l'application (ADC) dans un environnement de développement local, vous devez configurer les ADC dans votre environnement local. Pour en savoir plus, consultez la page Configurer les identifiants par défaut de l'application pour un environnement de développement local.

La manière dont vous vous authentifiez et utilisez la CLI gcloud dépend de l'emplacement où vous exécutez l'outil:

Environnement local

Dans la plupart des cas, vous pouvez utiliser vos identifiants utilisateur pour vous connecter à gcloud CLI, mais vous pouvez également utiliser un compte de service.

Lorsque vous vous connectez à gcloud CLI dans un environnement local, l'outil place vos jetons d'accès et d'actualisation dans votre répertoire d'accueil. Tout utilisateur ayant accès à votre système de fichiers peut utiliser ces identifiants. Pour en savoir plus, consultez la section Limiter les jetons OAuth compromis pour Google Cloud CLI.

Le tableau suivant décrit les options de connexion à gcloud CLI et leur incidence sur les identifiants utilisés par l'outil pour s'authentifier et autoriser les API Google.

Credential Type (Type d'identifiants) Commande d'authentification Remarques En savoir plus
Identifiants utilisateur
  1. gcloud init
  2. gcloud auth login

gcloud CLI utilise vos identifiants utilisateur pour l'authentification et l'autorisation de toutes les API Google.

Pour autoriser un compte de service à accéder aux API Google, utilisez l'emprunt d'identité du compte de service.

  1. gcloud config set auth/login_config_file WORKFORCE_IDENTITY_FEDERATION_LOGIN_CONFIGURATION_FILE
  2. gcloud auth login
La fédération des identités des employés permet aux utilisateurs gérés par un fournisseur d'identité autre que Google d'accéder aux ressources Google Cloud.
Compte de service gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE La fédération d'identité de charge de travail permet aux charges de travail exécutées en dehors de Google Cloud d'accéder aux ressources Google Cloud. Authentifier une charge de travail
gcloud auth login --cred-file=SERVICE_ACCT_KEY

Cette méthode n'est pas recommandée, car l'utilisation de clés de compte de service augmente les risques.

Pour utiliser un compte de service pour l'autorisation auprès des API Google, connectez-vous à gcloud CLI avec vos identifiants utilisateur, puis utilisez l'emprunt d'identité du compte de service.

Cloud Shell

Lorsque vous utilisez Cloud Shell, vous n'avez pas besoin de vous connecter à gcloud CLI, mais vous devez autoriser l'utilisation de votre compte avant d'utiliser des outils de développement à partir de Cloud Shell. Ceci fait, gcloud CLI va se baser sur vos identifiants utilisateur pour accéder aux API Google.

Pour en savoir plus, consultez la section Autoriser avec Cloud Shell.

Ressources de calcul Google Cloud

Lorsque vous utilisez gcloud CLI sur des ressources de calcul Google Cloud telles que des machines virtuelles Compute Engine, vous n'avez pas besoin d'initialiser gcloud CLI ni de vous connecter à celle-ci, car elle obtient ses identifiants et ses informations de configuration de la ressource de calcul hôte à l'aide du serveur de métadonnées.

Credential Type (Type d'identifiants) Commande d'authentification Remarques En savoir plus
Compte de service Non applicable gcloud CLI utilise le compte de service associé à la ressource de calcul pour l'authentification et l'autorisation de toutes les API Google. Services Google Cloud compatibles avec l'association d'un compte de service

Configuration d'authentification sur gcloud CLI et configuration des ADC

Lorsque vous vous connectez à gcloud CLI, vous utilisez la commande gcloud auth login pour authentifier un compte principal sur gcloud CLI. gcloud CLI utilise ce compte principal pour l'authentification et l'autorisation, afin de gérer les ressources et les services Google Cloud. Il s'agit de votre configuration d'authentification sur gcloud CLI.

Lorsque vous utilisez gcloud CLI pour configurer des ADC, vous devez utiliser la commande gcloud auth application-default login. Celle-ci utilise le compte principal que vous avez spécifié afin de configurer les ADC pour votre environnement local. Il s'agit de votre configuration ADC.

Votre configuration d'authentification sur gcloud CLI et votre configuration ADC sont deux éléments distincts. Elles peuvent utiliser le même compte principal ou des comptes principaux différents. gcloud CLI n'utilise pas d'ADC pour accéder aux ressources Google Cloud.

Le tableau suivant présente les deux commandes et leur fonctionnement :

Commande Description
gcloud auth login

Accepte les identifiants permettant de s'authentifier et d'autoriser l'accès aux services Google Cloud.

gcloud auth application-default login

Génère un fichier ADC local à partir des identifiants fournis à la commande.

En règle générale, vous utilisez le même compte pour vous connecter à gcloud CLI et pour configurer des ADC, mais vous pouvez utiliser des comptes différents si nécessaire.

Étapes suivantes