É possível fornecer suas credenciais de usuário ou as credenciais da conta de serviço para o ADC em um ambiente de desenvolvimento local.
Credenciais do usuário
Quando o código está sendo executado em um ambiente de desenvolvimento local, como uma estação de trabalho de desenvolvimento, a melhor opção é usar as credenciais associadas à conta de usuário.
O método de configuração do ADC com sua conta de usuário é determinado pelo tipo de conta que você tem: uma Conta do Google ou uma conta de um provedor de identidade externo (IdP) federada usando a federação de identidade de colaboradores.Conta do Google
Para configurar o ADC com uma Conta do Google, use a CLI do Google Cloud:
-
Instale a CLI do Google Cloud.
Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Uma tela de login é exibida. Após o login, suas credenciais são armazenadas no arquivo de credenciais local usado pelo ADC.
IdP externo
Para configurar o ADC para uma conta de usuário gerenciada por um IdP externo e federada com a federação de identidade de colaboradores, faça o seguinte:
-
Instale a CLI do Google Cloud. Após a instalação, inicialize a CLI do Google Cloud executando o seguinte comando:
gcloud initAo usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Uma tela de login é exibida. Após o login, suas credenciais são armazenadas no arquivo de credenciais local usado pelo ADC.
Dicas para configurar o ADC com suas credenciais de usuário
Ao configurar o ADC com sua conta de usuário, é importante considerar o seguinte:
No caso de algumas APIs, é preciso realizar outras etapas de configuração para que o ADC configurado com uma conta de usuário funcione. Se você receber uma mensagem de erro informando que a API não está ativada no projeto ou que não há um projeto de cota disponível, consulte As credenciais do usuário não estão funcionando.
O arquivo local do ADC contém o token de atualização. Qualquer usuário com acesso ao seu sistema de arquivos pode usá-lo para receber um token de acesso válido. Se você não precisar mais dessas credenciais locais, revogue-as usando o comando
gcloud auth application-default revoke.O arquivo local do ADC está associado à conta de usuário, não à configuração da gcloud CLI. Ao fazer a alteração para uma configuração diferente da gcloud CLI, a identidade usada por ela pode ser alterada, mas isso não afeta o arquivo local nem a configuração do ADC.
Credenciais da conta de serviço
É possível configurar o ADC com as credenciais de uma conta de serviço usando a identidade temporária de conta de serviço ou uma chave de conta de serviço.
Identidade temporária de conta de serviço
É possível usar a identidade temporária de conta de serviço para configurar um arquivo local do Application Default Credentials (ADC). As bibliotecas de cliente que aceitam a identidade temporária de conta de serviço podem usar essas credenciais automaticamente. Os arquivos locais do ADC criados com a identidade temporária de conta de serviço são aceitos nas seguintes linguagens:
- C#
- Go
- Java
- Node.js
- Python
Você precisa ter o papel do IAM de Criador de token
(roles/iam.serviceAccountTokenCreator) na conta de serviço que tem a
identidade temporária. Para mais informações, consulte
Papéis necessários.
Use a identidade temporária de conta de serviço para criar um arquivo local do ADC:
gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL
Agora é possível usar bibliotecas de cliente com as linguagens aceitas da mesma forma que você faria depois de configurar um arquivo local do ADC com credenciais de usuário. As credenciais são encontradas automaticamente pelas bibliotecas de autenticação. Para saber mais, consulte Autenticar-se para usar bibliotecas de cliente.
As credenciais de um arquivo local do ADC gerado com a identidade temporária de conta de serviço não são aceitas por todas as bibliotecas de autenticação. Para mais informações, consulte Erro retornado para as credenciais locais da identidade temporária de conta de serviço.
Chaves da conta de serviço
Se não for possível usar uma conta de usuário ou a identidade temporária de conta de serviço para o desenvolvimento local, use uma chave de conta de serviço.
Para criar uma chave de conta de serviço e disponibilizá-la ao ADC, faça o seguinte:
- Crie uma conta de serviço com os papéis necessários para o aplicativo e uma chave para essa conta de serviço. Para fazer isso, siga as instruções em Como criar uma chave de conta de serviço.
-
Set the environment variable
GOOGLE_APPLICATION_CREDENTIALSto the path of the JSON file that contains your credentials. This variable applies only to your current shell session, so if you open a new session, set the variable again.
A seguir
Entenda as práticas recomendadas para usar chaves de conta de serviço.
Conheça os métodos de autenticação.