Primeiros passos na autenticação

Este tópico mostra como se autenticar rapidamente em uma API do Google Cloud para fins de teste. Ele não mostra como se autenticar em APIs que não são do Google Cloud, como as APIs da Plataforma Google Maps. Para informações sobre as chaves de API das APIs e dos SDKs da Plataforma Google Maps, consulte a documentação do Google Maps.

Antes de continuar, recomendamos que todos os desenvolvedores do Google Cloud leiam o tópico Visão geral da autenticação para entender como a autenticação funciona no Google Cloud, incluindo cenários e estratégias comuns. Além disso, antes de implantar um aplicativo em um ambiente de produção, leia Autenticação como uma conta de serviço.

Observação: se o seu aplicativo for executado no local ou em outro provedor de nuvem, será necessário usar a federação de identidade da carga de trabalho para conceder acesso a identidades externas sem usar uma chave de conta de serviço. Algumas bibliotecas de cliente podem usar o Application Default Credentials (ADC) para gerar credenciais automaticamente para identidades externas.

Para saber mais, consulte a documentação do seu provedor de identidade:

Como criar uma conta de serviço

Console do Cloud

Crie uma conta de serviço:

No Console do Cloud, acesse a página Criar conta de serviço.
Acesse Criar conta de serviço
Selecione um projeto.
No campo Nome da conta de serviço, insira um nome. O Console do Cloud preenche o campo ID da conta de serviço com base nesse nome.

No campo Descrição da conta de serviço, insira uma descrição. Por exemplo, Service account for quickstart.
Clique em Criar e continuar.
Clique no campo Selecionar um papel.

Em Acesso rápido, clique em Básico e em Proprietário.

Observação: o campo Papel afeta quais recursos a conta de serviço pode acessar no projeto. É possível revogar esses papéis ou conceder outros papéis posteriormente. Em ambientes de produção, não conceda os papéis de proprietário, editor ou visualizador. Em vez disso, conceda um papel predefinido ou um papel personalizado que atenda às suas necessidades.
Clique em Continuar.
Clique em Concluído para terminar a criação da conta de serviço.

Não feche a janela do navegador. Você vai usá-lo na próxima etapa.

Crie uma chave de conta de serviço:

No Console do Cloud, clique no endereço de e-mail da conta de serviço que você criou.
Clique em Chaves.
Clique em Adicionar chave e em Criar nova chave.
Clique em Criar. O download de um arquivo de chave JSON é feito no seu computador.
Clique em Fechar.

Linha de comando

É possível executar os seguintes comandos usando o SDK do Cloud na máquina local ou no Cloud Shell.

Crie a conta de serviço. Substitua NAME por um nome para a conta de serviço.
```
gcloud iam service-accounts create NAME
```
Conceda permissões à conta de serviço. Substitua PROJECT_ID pelo ID do seu projeto.
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:NAME@PROJECT_ID.iam.gserviceaccount.com" --role="roles/owner"
```
Observação: a sinalização --role afeta quais recursos sua conta de serviço pode acessar no projeto. É possível revogar esses papéis ou conceder outros papéis posteriormente. Em ambientes de produção, não conceda os papéis de proprietário, editor ou visualizador. Em vez disso, conceda um papel predefinido ou um papel personalizado que atenda às suas necessidades.

Gere o arquivo de chave. Substitua FILE_NAME pelo nome do arquivo de chave.

gcloud iam service-accounts keys create FILE_NAME.json --iam-account=NAME@PROJECT_ID.iam.gserviceaccount.com

Como configurar a variável de ambiente

Para usar contas de serviço com o SDK do Cloud, você precisa definir uma variável de ambiente em que seu código é executado.

Forneça credenciais de autenticação ao código do aplicativo definindo a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS. Essa variável se aplica somente à sessão de shell atual. Se você quiser que a variável seja aplicada em sessões de shell futuras, defina a variável no arquivo de inicialização de shell, por exemplo, no arquivo ~/.bashrc ou ~/.profile.

Linux ou macOS

export GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Substitua KEY_PATH pelo caminho do arquivo JSON que contém a chave da conta de serviço.

Exemplo:

export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"

Windows

Para PowerShell:

$env:GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Substitua KEY_PATH pelo caminho do arquivo JSON que contém a chave da conta de serviço.

Exemplo:

$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"

Para prompt de comando:

set GOOGLE_APPLICATION_CREDENTIALS=KEY_PATH

Substitua KEY_PATH pelo caminho do arquivo JSON que contém a chave da conta de serviço.

Com a configuração da variável de ambiente, você fornece credenciais separadamente do seu aplicativo, sem alterar o código do aplicativo na implantação. Como alternativa, especifique explicitamente o caminho para o arquivo de chave da conta do serviço em seu código. Para mais informações, consulte Autenticação como uma conta de serviço.

Como verificar autenticação

Após configurar a variável de ambiente, não é necessário especificar explicitamente suas credenciais no código ao utilizar uma biblioteca de cliente do Google Cloud. A biblioteca de cliente determina suas credenciais de maneira implícita. Por esse motivo, para verificar se a autenticação funciona, configure a variável de ambiente e execute o código da biblioteca de cliente, conforme o exemplo a seguir. Se a solicitação for bem-sucedida, a autenticação funcionará.

C#

Ver no GitHub

public object AuthImplicit(string projectId)
{
    // If you don't specify credentials when constructing the client, the
    // client library will look for credentials in the environment.
    var credential = GoogleCredential.GetApplicationDefault();
    var storage = StorageClient.Create(credential);
    // Make an authenticated API request.
    var buckets = storage.ListBuckets(projectId);
    foreach (var bucket in buckets)
    {
        Console.WriteLine(bucket.Name);
    }
    return null;
}

Go

Ver no GitHub


// implicit uses Application Default Credentials to authenticate.
func implicit() {
	ctx := context.Background()

	// For API packages whose import path is starting with "cloud.google.com/go",
	// such as cloud.google.com/go/storage in this case, if there are no credentials
	// provided, the client library will look for credentials in the environment.
	storageClient, err := storage.NewClient(ctx)
	if err != nil {
		log.Fatal(err)
	}
	defer storageClient.Close()

	it := storageClient.Buckets(ctx, "project-id")
	for {
		bucketAttrs, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			log.Fatal(err)
		}
		fmt.Println(bucketAttrs.Name)
	}

	// For packages whose import path is starting with "google.golang.org/api",
	// such as google.golang.org/api/cloudkms/v1, use NewService to create the client.
	kmsService, err := cloudkms.NewService(ctx)
	if err != nil {
		log.Fatal(err)
	}

	_ = kmsService
}

Java

Ver no GitHub

static void authImplicit() {
  // If you don't specify credentials when constructing the client, the client library will
  // look for credentials via the environment variable GOOGLE_APPLICATION_CREDENTIALS.
  Storage storage = StorageOptions.getDefaultInstance().getService();

  System.out.println("Buckets:");
  Page<Bucket> buckets = storage.list();
  for (Bucket bucket : buckets.iterateAll()) {
    System.out.println(bucket.toString());
  }
}

Node.js

Ver no GitHub

// Imports the Google Cloud client library.
const {Storage} = require('@google-cloud/storage');

// Instantiates a client. If you don't specify credentials when constructing
// the client, the client library will look for credentials in the
// environment.
const storage = new Storage();
// Makes an authenticated API request.
async function listBuckets() {
  try {
    const results = await storage.getBuckets();

    const [buckets] = results;

    console.log('Buckets:');
    buckets.forEach(bucket => {
      console.log(bucket.name);
    });
  } catch (err) {
    console.error('ERROR:', err);
  }
}
listBuckets();

PHP

Ver no GitHub

// Imports the Cloud Storage client library.
use Google\Cloud\Storage\StorageClient;

/**
 * Authenticate to a cloud client library using a service account implicitly.
 *
 * @param string $projectId The Google project ID.
 */
function auth_cloud_implicit($projectId)
{
    $config = [
        'projectId' => $projectId,
    ];

    # If you don't specify credentials when constructing the client, the
    # client library will look for credentials in the environment.
    $storage = new StorageClient($config);

    # Make an authenticated API request (listing storage buckets)
    foreach ($storage->buckets() as $bucket) {
        printf('Bucket: %s' . PHP_EOL, $bucket->name());
    }
}

Python

Ver no GitHub

def implicit():
    from google.cloud import storage

    # If you don't specify credentials when constructing the client, the
    # client library will look for credentials in the environment.
    storage_client = storage.Client()

    # Make an authenticated API request
    buckets = list(storage_client.list_buckets())
    print(buckets)

Ruby

Ver no GitHub

# project_id = "Your Google Cloud project ID"

require "google/cloud/storage"

# If you don't specify credentials when constructing the client, the client
# library will look for credentials in the environment.
storage = Google::Cloud::Storage.new project: project_id

# Make an authenticated API request
storage.buckets.each do |bucket|
  puts bucket.name
end

A seguir

Saiba mais sobre a autenticação em uma API do Google Cloud.
Saiba mais sobre como se autenticar como usuário final
Saiba mais sobre como se autenticar como uma conta de serviço.
Aprenda a usar chaves de API

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Comece a usar gratuitamente