Primeiros passos na autenticação

Este tópico mostra como se autenticar rapidamente em uma API do Google Cloud para fins de teste. Ele não mostra como se autenticar em APIs que não são do Google Cloud, como as APIs da Plataforma Google Maps. Para informações sobre as chaves de API das APIs e dos SDKs da Plataforma Google Maps, consulte a documentação do Google Maps.

Antes de continuar, recomendamos que todos os desenvolvedores do Google Cloud leiam o tópico Visão geral da autenticação para entender como a autenticação funciona no Google Cloud, incluindo cenários e estratégias comuns. Além disso, antes de implantar um aplicativo em um ambiente de produção, leia Autenticação como uma conta de serviço.

Como criar uma conta de serviço

Console

Crie uma conta de serviço:

No console do Cloud, acesse a página Criar conta de serviço.
Acesse "Criar conta de serviço"
Selecione o projeto.
No campo Nome da conta de serviço, insira um nome. O console do Cloud preenche o campo ID da conta de serviço com base nesse nome.

No campo Descrição da conta de serviço, insira uma descrição. Por exemplo, Service account for quickstart.
Clique em Criar e continuar.
Para fornecer acesso ao projeto, conceda os seguintes papéis à conta de serviço: Projeto > Proprietário.

Na lista Selecionar um papel, escolha um.

Para papéis adicionais, clique em Adicionar outro papel e adicione cada papel adicional.

Observação: o campo Papel afeta quais recursos sua conta de serviço pode acessar no projeto. É possível revogar esses papéis ou conceder outros papéis posteriormente. Em ambientes de produção, não conceda os papéis de proprietário, editor ou visualizador. Em vez disso, conceda um papel predefinido ou um papel personalizado que atenda às suas necessidades.
Clique em Continuar.
Clique em Concluído para terminar a criação da conta de serviço.

Não feche a janela do navegador. Você vai usá-la na próxima etapa.

Crie uma chave de conta de serviço:

No console do Cloud, clique no endereço de e-mail da conta de serviço que você criou.
Clique em Chaves.
Clique em Adicionar chave e em Criar nova chave.
Clique em Criar. O download de um arquivo de chave JSON é feito no seu computador.
Clique em Fechar.

gcloud

Configure a autenticação:

Crie a conta de serviço. Substitua NAME por um nome para a conta de serviço.
```
gcloud iam service-accounts create NAME
```
Conceda papéis à conta de serviço. Execute uma vez o seguinte comando para cada um dos seguintes papéis do IAM: roles/owner
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
Substitua:
- NAME: o nome da conta de serviço.
- PROJECT_ID: o ID do projeto em que você criou a conta de serviço
- ROLE: o papel a ser concedido
Observação: a --role afeta quais recursos sua conta de serviço pode acessar no projeto. É possível revogar esses papéis ou conceder outros papéis posteriormente. Em ambientes de produção, não conceda os papéis de proprietário, editor ou visualizador. Em vez disso, conceda um papel predefinido ou um papel personalizado que atenda às suas necessidades.
Gere o arquivo de chave:
```
gcloud iam service-accounts keys create FILE_NAME.json --iam-account=NAME@PROJECT_ID.iam.gserviceaccount.com
```
Substitua:
- FILE_NAME: um nome para o arquivo de chave
- NAME: o nome da conta de serviço.
- PROJECT_ID: o ID do projeto em que você criou a conta de serviço

Como configurar a variável de ambiente

Para usar contas de serviço com o SDK do Cloud, você precisa definir uma variável de ambiente em que seu código é executado.

Forneça credenciais de autenticação ao código do aplicativo definindo a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS. Essa variável se aplica somente à sessão de shell atual. Se você quiser que a variável seja aplicada em sessões de shell futuras, defina a variável no arquivo de inicialização de shell, por exemplo, no arquivo ~/.bashrc ou ~/.profile.

Linux ou macOS

export GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Substitua KEY_PATH pelo caminho do arquivo JSON que contém a chave da conta de serviço.

Exemplo:

export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"

Windows

Para PowerShell:

$env:GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Substitua KEY_PATH pelo caminho do arquivo JSON que contém a chave da conta de serviço.

Exemplo:

$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"

Para prompt de comando:

set GOOGLE_APPLICATION_CREDENTIALS=KEY_PATH

Substitua KEY_PATH pelo caminho do arquivo JSON que contém a chave da conta de serviço.

Com a configuração da variável de ambiente, você fornece credenciais separadamente do seu aplicativo, sem alterar o código do aplicativo na implantação. Como alternativa, especifique explicitamente o caminho para o arquivo de chave da conta do serviço em seu código. Para mais informações, consulte Autenticação como uma conta de serviço.

Como verificar autenticação

Após configurar a variável de ambiente, não é necessário especificar explicitamente suas credenciais no código ao utilizar uma biblioteca de cliente do Google Cloud. A biblioteca de cliente determina suas credenciais de maneira implícita. Por esse motivo, para verificar se a autenticação funciona, configure a variável de ambiente e execute o código da biblioteca de cliente, conforme o exemplo a seguir. Se a solicitação for bem-sucedida, a autenticação funcionará.

C#

Ver no GitHub

public object AuthImplicit(string projectId)
{
    // If you don't specify credentials when constructing the client, the
    // client library will look for credentials in the environment.
    var credential = GoogleCredential.GetApplicationDefault();
    var storage = StorageClient.Create(credential);
    // Make an authenticated API request.
    var buckets = storage.ListBuckets(projectId);
    foreach (var bucket in buckets)
    {
        Console.WriteLine(bucket.Name);
    }
    return null;
}

Go

Ver no GitHub


// implicit uses Application Default Credentials to authenticate.
func implicit() {
	ctx := context.Background()

	// For API packages whose import path is starting with "cloud.google.com/go",
	// such as cloud.google.com/go/storage in this case, if there are no credentials
	// provided, the client library will look for credentials in the environment.
	storageClient, err := storage.NewClient(ctx)
	if err != nil {
		log.Fatal(err)
	}
	defer storageClient.Close()

	it := storageClient.Buckets(ctx, "project-id")
	for {
		bucketAttrs, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			log.Fatal(err)
		}
		fmt.Println(bucketAttrs.Name)
	}

	// For packages whose import path is starting with "google.golang.org/api",
	// such as google.golang.org/api/cloudkms/v1, use NewService to create the client.
	kmsService, err := cloudkms.NewService(ctx)
	if err != nil {
		log.Fatal(err)
	}

	_ = kmsService
}

Java

Ver no GitHub

static void authImplicit() {
  // If you don't specify credentials when constructing the client, the client library will
  // look for credentials via the environment variable GOOGLE_APPLICATION_CREDENTIALS.
  Storage storage = StorageOptions.getDefaultInstance().getService();

  System.out.println("Buckets:");
  Page<Bucket> buckets = storage.list();
  for (Bucket bucket : buckets.iterateAll()) {
    System.out.println(bucket.toString());
  }
}

Node.js

Ver no GitHub

// Imports the Google Cloud client library.
const {Storage} = require('@google-cloud/storage');

// Instantiates a client. If you don't specify credentials when constructing
// the client, the client library will look for credentials in the
// environment.
const storage = new Storage();
// Makes an authenticated API request.
async function listBuckets() {
  try {
    const results = await storage.getBuckets();

    const [buckets] = results;

    console.log('Buckets:');
    buckets.forEach(bucket => {
      console.log(bucket.name);
    });
  } catch (err) {
    console.error('ERROR:', err);
  }
}
listBuckets();

PHP

Ver no GitHub

// Imports the Cloud Storage client library.
use Google\Cloud\Storage\StorageClient;

/**
 * Authenticate to a cloud client library using a service account implicitly.
 *
 * @param string $projectId The Google project ID.
 */
function auth_cloud_implicit($projectId)
{
    $config = [
        'projectId' => $projectId,
    ];

    # If you don't specify credentials when constructing the client, the
    # client library will look for credentials in the environment.
    $storage = new StorageClient($config);

    # Make an authenticated API request (listing storage buckets)
    foreach ($storage->buckets() as $bucket) {
        printf('Bucket: %s' . PHP_EOL, $bucket->name());
    }
}

Python

Ver no GitHub

def implicit():
    from google.cloud import storage

    # If you don't specify credentials when constructing the client, the
    # client library will look for credentials in the environment.
    storage_client = storage.Client()

    # Make an authenticated API request
    buckets = list(storage_client.list_buckets())
    print(buckets)

Ruby

Ver no GitHub

# project_id = "Your Google Cloud project ID"

require "google/cloud/storage"

# If you don't specify credentials when constructing the client, the client
# library will look for credentials in the environment.
storage = Google::Cloud::Storage.new project: project_id

# Make an authenticated API request
storage.buckets.each do |bucket|
  puts bucket.name
end

A seguir

Saiba mais sobre a autenticação em uma API do Google Cloud.
Saiba mais sobre como se autenticar como usuário final
Saiba mais sobre como se autenticar como uma conta de serviço.
Aprenda a usar chaves de API

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Comece a usar gratuitamente