Nesta página, você verá várias maneiras de fazer login na CLI da gcloud. A Google Cloud CLI é uma ferramenta de linha de comando que pode ser usada para a administração do Google Cloud. A maioria dos serviços é compatível com a CLI gcloud.
Se você planeja usar bibliotecas de cliente ou ferramentas de desenvolvimento de terceiros compatíveis com o Application Default Credentials (ADC) em um ambiente de desenvolvimento local, é necessário configurar o ADC no ambiente local. Para mais informações, consulte Configurar o Application Default Credentials para um ambiente de desenvolvimento local.
A maneira como você autentica e usa a CLI da gcloud depende de onde você está executando a ferramenta:
Ambiente local
Para a maioria dos casos de uso, é possível usar as credenciais de usuário para fazer login na CLI da gcloud, mas também é possível usar uma conta de serviço.
Quando você faz login na CLI do gcloud em um ambiente local, a ferramenta coloca os tokens de acesso e atualização no diretório principal. Qualquer usuário com acesso ao seu sistema de arquivos pode usar essas credenciais. Para mais informações, consulte Como minimizar tokens OAuth comprometidos para a Google Cloud CLI.
A tabela a seguir descreve as opções para fazer login na CLI da gcloud e como isso afeta as credenciais usadas pela ferramenta para autenticar e autorizar as APIs do Google.
| Tipo de credencial | Comando de autenticação | Observações | Mais informações |
|---|---|---|---|
| Credenciais do usuário |
A gcloud CLI usa suas credenciais de usuário para autenticação e autorização em todas as APIs do Google. Se quiser usar uma conta de serviço para autorização em APIs do Google, use a identidade temporária de conta de serviço. |
||
gcloud auth login --login-file=WORKFORCE_IDENTITY_FEDERATION_LOGIN_CONFIGURATION_FILE
|
A federação de identidade de colaboradores permite que os usuários gerenciados por um provedor de identidade diferente do Google acessem os recursos do Google Cloud. | ||
| Conta de serviço |
gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE
|
A federação de identidade da carga de trabalho permite que cargas de trabalho executadas fora do Google Cloud acessem os recursos do Google Cloud. | Autenticar uma carga de trabalho |
gcloud auth login --cred-file=SERVICE_ACCT_KEY
|
Esse método não é recomendado porque o uso de chaves da conta de serviço aumenta os riscos. Para usar uma conta de serviço para autorização em APIs do Google, faça login na gcloud CLI com suas credenciais de usuário e use a identidade temporária de conta de serviço. |
Cloud Shell
Ao usar o Cloud Shell, você não precisa fazer login na CLI da gcloud, mas precisa autorizar o uso da sua conta antes de usar as ferramentas do Google do Cloud Shell. Depois que você fizer isso, a CLI da gcloud usará suas credenciais de usuário para acessar as APIs do Google.
Para mais informações, consulte Autorizar com o Cloud Shell.
Recursos de computação do Google Cloud
Ao usar a CLI da gcloud em recursos de computação do Google Cloud, como máquinas virtuais do Compute Engine, não é necessário inicializar ou fazer login na CLI da gcloud, porque ela recebe as credenciais e informações de configuração. do recurso de computação de hospedagem usando o servidor de metadados.
| Tipo de credencial | Comando de autenticação | Observações | Mais informações |
|---|---|---|---|
| Conta de serviço | Não relevante | A CLI da gcloud usa a conta de serviço anexada ao recurso de computação para autenticação e autorização para todas as APIs do Google. | Serviços do Google Cloud compatíveis com a anexação de uma conta de serviço |
Credenciais da CLI gcloud e credenciais ADC
Ao fazer login na CLI gcloud, você usa o
comando gcloud auth login para fornecer suas credenciais de usuário,
que a CLI gcloud usa para autenticação e autorização para
gerenciar recursos e serviços do Google Cloud. Essas credenciais são suas
credenciais da gcloud.
Ao usar a CLI da gcloud para fornecer credenciais ao ADC, use o comando gcloud auth application-default login. Esse comando coloca suas credenciais em um local conhecido para uso pelo ADC no ambiente local. Essas são suas credenciais locais do ADC.
As credenciais locais do ADC e as credenciais da CLI da gcloud são dois conjuntos distintos de credenciais. A CLI da gcloud não usa o ADC para receber credenciais.
A tabela a seguir mostra os dois comandos e o que eles fazem:
| Comando | Descrição |
|---|---|
gcloud auth login
|
Gera credenciais de usuário usadas para autenticar e autorizar o acesso aos serviços do Google Cloud. |
gcloud auth application-default login
|
Gera credenciais de usuário fornecidas para o Application Default Credentials para uso em um ambiente de desenvolvimento local. |
Normalmente, a mesma conta é usada para fazer login na CLI da gcloud e fornecer credenciais de usuário ao ADC, mas é possível usar contas diferentes, se necessário.
A seguir
- Saiba mais sobre como o ADC encontra credenciais.
- Autenticar para usar bibliotecas de cliente do Cloud.
- Conheça a autenticação no Google.