Cette page décrit plusieurs façons de vous connecter à gcloud CLI. Google Cloud CLI est un outil de ligne de commande que vous pouvez utiliser pour l'administration de Google Cloud. La plupart des services sont compatibles avec gcloud CLI.
Si vous envisagez d'utiliser des bibliothèques clientes ou des outils de développement tiers compatibles avec les identifiants par défaut de l'application (ADC) dans un environnement de développement local, vous devez configurer les ADC dans votre environnement local. Pour en savoir plus, consultez la page Configurer les identifiants par défaut de l'application pour un environnement de développement local.
La manière dont vous vous authentifiez et utilisez gcloud CLI dépend de l'emplacement où vous exécutez l'outil:
Environnement local
Dans la plupart des cas, vous pouvez utiliser vos identifiants utilisateur pour vous connecter à la CLI gcloud, mais vous pouvez également utiliser un compte de service.
Lorsque vous vous connectez à la CLI gcloud dans un environnement local, l'outil place vos jetons d'accès et d'actualisation dans votre répertoire d'accueil. Tout utilisateur ayant accès à votre système de fichiers peut utiliser ces identifiants. Pour en savoir plus, consultez la section Limiter les jetons OAuth compromis pour Google Cloud CLI.
Le tableau suivant décrit les options de connexion à gcloud CLI et leur incidence sur les identifiants utilisés par l'outil pour s'authentifier et autoriser les API Google.
| Credential Type (Type d'identifiants) | Commande d'authentification | Remarques | Informations complémentaires |
|---|---|---|---|
| Identifiants utilisateur |
gcloud CLI utilise vos identifiants utilisateur pour l'authentification et l'autorisation de toutes les API Google. Pour autoriser un compte de service à accéder aux API Google, utilisez l'emprunt d'identité du compte de service. |
||
gcloud auth login --login-file=WORKFORCE_IDENTITY_FEDERATION_LOGIN_CONFIGURATION_FILE
|
La fédération des identités des employés permet aux utilisateurs gérés par un fournisseur d'identité autre que Google d'accéder aux ressources Google Cloud. | ||
| Compte de service |
gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE
|
La fédération d'identité de charge de travail permet aux charges de travail exécutées en dehors de Google Cloud d'accéder aux ressources Google Cloud. | Authentifier une charge de travail |
gcloud auth login --cred-file=SERVICE_ACCT_KEY
|
Cette méthode n'est pas recommandée, car l'utilisation de clés de compte de service augmente les risques. Pour utiliser un compte de service pour l'autorisation auprès des API Google, connectez-vous à gcloud CLI avec vos identifiants utilisateur, puis utilisez l'emprunt d'identité du compte de service. |
Cloud Shell
Lorsque vous utilisez Cloud Shell, vous n'avez pas besoin de vous connecter à gcloud CLI, mais vous devez autoriser l'utilisation de votre compte avant d'utiliser les outils Google de Cloud Shell. Une fois que vous avez effectué cette opération, gcloud CLI utilise vos identifiants utilisateur pour accéder aux API Google.
Pour en savoir plus, consultez la section Autoriser avec Cloud Shell.
Ressources de calcul Google Cloud
Lorsque vous utilisez la CLI gcloud sur des ressources de calcul Google Cloud telles que les machines virtuelles Compute Engine, vous n'avez pas besoin d'initialiser gcloud CLI, car elle obtient ses identifiants et ses informations de configuration de la ressource de calcul hôte à l'aide du serveur de métadonnées.
| Credential Type (Type d'identifiants) | Commande d'authentification | Remarques | Informations complémentaires |
|---|---|---|---|
| Compte de service | Non applicable | gcloud CLI utilise le compte de service associé à la ressource de calcul pour l'authentification et l'autorisation de toutes les API Google. | Services Google Cloud compatibles avec l'association d'un compte de service |
Identifiants gcloud CLI et identifiants ADC
Lorsque vous vous connectez à gcloud CLI, vous utilisez la commande gcloud auth login pour fournir vos identifiants utilisateur, que gcloud CLI utilise pour l'authentification et l'autorisation de gestion des ressources et services Google Cloud. Ces identifiants sont vos identifiants gcloud CLI.
Lorsque vous utilisez gcloud CLI pour fournir des identifiants au service ADC, vous exécutez la commande gcloud auth application-default login. Cette commande place vos identifiants dans un emplacement connu pour être utilisé par les ADC dans votre environnement local. Il s'agit de vos identifiants ADC locaux.
Vos identifiants ADC locaux et vos identifiants gcloud CLI sont deux ensembles distincts d'identifiants. La CLI gcloud n'utilise pas l'ADC pour obtenir des identifiants.
Le tableau suivant présente les deux commandes et leur fonctionnement :
| Commande | Description |
|---|---|
gcloud auth login
|
Génère les identifiants utilisateur permettant de s'authentifier et d'autoriser l'accès aux services Google Cloud. |
gcloud auth application-default login
|
Génère les identifiants utilisateur fournis au service d'identifiants par défaut de l'application, destinés à une utilisation dans un environnement de développement local. |
Généralement, vous utilisez le même compte pour vous connecter à gcloud CLI et fournir des identifiants utilisateur à l'ADC, mais vous pouvez utiliser des comptes différents si nécessaire.
Étapes suivantes
- Découvrez comment ADC trouve des identifiants.
- Authentifiez-vous pour utiliser les bibliothèques clientes Cloud.
- Découvrez l'authentification Google.