Autenticarse para usar la CLI de gcloud

En esta página se describen varias formas de iniciar sesión en gcloud CLI. La CLI de Google Cloud es una herramienta de línea de comandos que puedes usar para la Google Cloudadministración. La mayoría de los servicios admiten la CLI de gcloud.

Si tienes previsto usar bibliotecas de cliente o herramientas de desarrollo de terceros que admitan las credenciales predeterminadas de la aplicación (ADC) en un entorno de desarrollo local, debes configurar las ADC en tu entorno local. Para obtener más información, consulta Configurar credenciales predeterminadas de la aplicación para un entorno de desarrollo local.

La forma de autenticarte y usar la CLI de gcloud depende de dónde ejecutes la herramienta:

• En un entorno local
• Usar Cloud Shell
• En los Google Cloud recursos de computación

Entorno local

En la mayoría de los casos prácticos, puedes usar tus credenciales de usuario para iniciar sesión en la CLI de gcloud, pero también puedes usar una cuenta de servicio.

Cuando inicias sesión en la CLI de gcloud en un entorno local, la herramienta coloca tus tokens de acceso y de actualización en tu directorio principal. Cualquier usuario con acceso a tu sistema de archivos puede usar esas credenciales. Para obtener más información, consulta Mitigar tokens de OAuth vulnerados en la CLI de Google Cloud.

En la siguiente tabla se describen las opciones para iniciar sesión en la CLI de gcloud y cómo afectan a las credenciales que usa la herramienta para autenticarse y autorizarse en las APIs de Google.

Tipo de credencial	Comando de autenticación	Notas	Más información
Credenciales de usuario	Uno de los siguientes: gcloud init: autoriza el acceso y realiza otros pasos de configuración habituales. gcloud auth login: Autoriza el acceso únicamente.	La CLI de gcloud usa tus credenciales de usuario para la autenticación y la autorización de todas las APIs de Google. Para usar una cuenta de servicio para autorizar el acceso a las APIs de Google, usa la suplantación de identidad de la cuenta de servicio.	Inicializar gcloud CLI Usar la suplantación de identidad de cuenta de servicio
	gcloud config set auth/login_config_file WORKFORCE_IDENTITY_FEDERATION_LOGIN_CONFIGURATION_FILE gcloud auth login	Workforce Identity Federation permite que los usuarios gestionados por un proveedor de identidades que no sea Google accedan a los Google Cloud recursos.	Iniciar sesión en gcloud CLI con tu identidad federada Federación de identidades para los trabajadores
Cuenta de servicio	gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE	La federación de identidades de cargas de trabajo permite que las cargas de trabajo que se ejecutan fuera de Google Cloud accedan a los recursos de Google Cloud .	Autenticar una carga de trabajo
	gcloud auth login --cred-file=SERVICE_ACCT_KEY	No se recomienda este método, ya que el uso de claves de cuentas de servicio aumenta el riesgo. Para usar una cuenta de servicio para autorizar el acceso a las APIs de Google, inicia sesión en la CLI de gcloud con tus credenciales de usuario y, a continuación, usa la suplantación de identidad de la cuenta de servicio.	Prácticas recomendadas para gestionar claves de cuentas de servicio Usar la suplantación de identidad de cuenta de servicio

Cloud Shell

Cuando usas Cloud Shell, no tienes que iniciar sesión en la CLI de gcloud, pero sí debes autorizar el uso de tu cuenta antes de usar cualquier herramienta de desarrollo de Cloud Shell. Después de hacerlo, la CLI de gcloud usará tus credenciales de usuario para acceder a las APIs de Google.

Para obtener más información, consulta Autorizar con Cloud Shell.

Google Cloud recursos de computación

Cuando usas la CLI de gcloud en Google Cloud recursos de computación como las máquinas virtuales de Compute Engine, no tienes que inicializar ni iniciar sesión en la CLI de gcloud, ya que obtiene sus credenciales e información de configuración del recurso de computación de alojamiento mediante el servidor de metadatos.

Tipo de credencial	Comando de autenticación	Notas	Más información
Cuenta de servicio	No aplicable	La CLI de gcloud usa la cuenta de servicio asociada al recurso de computación para la autenticación y la autorización de todas las APIs de Google.	Configurar ADC para un recurso con una cuenta de servicio adjunta

Configuración de la autenticación de la CLI de gcloud y configuración de ADC

Cuando inicias sesión en la CLI de gcloud, usas el comando gcloud auth login para autenticar una entidad en la CLI de gcloud. La CLI de gcloud usa esa entidad para la autenticación y la autorización con el fin de gestionar Google Cloud recursos y servicios. Esta es tu configuración de autenticación de la CLI de gcloud.

Cuando usas la CLI de gcloud para configurar ADC, usas el comando gcloud auth application-default login. Este comando usa la entidad de seguridad que proporciones para configurar ADC en tu entorno local. Esta es tu configuración de ADC.

La configuración de autenticación de la CLI de gcloud es distinta de la configuración de ADC. Pueden usar el mismo principal o principales diferentes. La CLI de gcloud no usa ADC para acceder a los recursos de Google Cloud .

En la siguiente tabla se muestran los dos comandos y lo que hacen:

Comando	Descripción
gcloud auth login	Acepta las credenciales que se usan para autenticar y autorizar el acceso a los servicios. Google Cloud
gcloud auth application-default login	Genera un archivo ADC local basado en las credenciales que proporciones al comando.

Por lo general, se usa la misma cuenta para iniciar sesión en la CLI de gcloud y para configurar ADC, pero puedes usar cuentas diferentes si es necesario.

Siguientes pasos

• Más información sobre cómo encuentra las credenciales ADC
• Autentícate para usar las bibliotecas de cliente de Cloud.
• Consulta los métodos de autenticación.