Vous pouvez fournir vos identifiants utilisateur ou des identifiants de compte de service au fichier ADC dans un environnement de développement local.
Identifiants utilisateur
Lorsque votre code s'exécute dans un environnement de développement local (par exemple, un poste de travail de développement), la meilleure option consiste à utiliser les identifiants associés à votre compte utilisateur.
La façon dont vous configurez le fichier ADC avec votre compte utilisateur dépend de la façon dont votre compte utilisateur est géré par Google (c'est-à-dire s'il s'agit d'un compte Google) ou par un autre fournisseur d'identité (IdP), et fédéré à l'aide de la fédération des identités des employés.
Configurer des ADC avec votre compte Google
Pour configurer ADC avec un compte Google, vous utilisez Google Cloud CLI :
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Un écran de connexion s'affiche. Une fois que vous êtes connecté, vos identifiants sont stockés dans le fichier d'identifiants local utilisé par ADC.
Configurer des ADC avec un compte géré par un fournisseur d'identité externe
Pour configurer un fichier ADC de l'application pour un compte utilisateur géré par un IdP externe et fédéré avec la fédération des identités des employés, procédez comme suit :
-
After installing the Google Cloud CLI, configure the gcloud CLI to use your federated identity and then initialize it by running the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
If an authentication error is returned, confirm that you have configured the gcloud CLI to use Workforce Identity Federation.
Un écran de connexion s'affiche. Une fois que vous êtes connecté, vos identifiants sont stockés dans le fichier d'identifiants local utilisé par ADC.
Conseils pour configurer les identifiants par défaut de l'application avec vos identifiants utilisateur
Lorsque vous configurez un fichier ADC avec votre compte utilisateur, vous devez tenir compte des points suivants :
Un fichier ADC configuré avec un compte utilisateur peut ne pas fonctionner pour certaines API sans étapes de configuration supplémentaires. Si vous recevez un message d'erreur indiquant que l'API n'est pas activée dans le projet ou qu'aucun projet de quota n'est disponible, consultez la section Les identifiants de l'utilisateur ne fonctionnent pas.
Le fichier ADC local contient votre jeton d'actualisation. Tout utilisateur ayant accès à votre système de fichiers peut l'utiliser pour obtenir un jeton d'accès valide. Si vous n'avez plus besoin de ces identifiants locaux, vous pouvez les révoquer à l'aide de la commande
gcloud auth application-default revoke
.Votre fichier ADC local est associé à votre compte utilisateur, et non à votre configuration gcloud CLI. Le fait de modifier la configuration de gcloud CLI peut changer l'identité utilisée par gcloud CLI, mais n'a aucune incidence sur votre fichier ADC local ni sur sa configuration.
Identifiants du compte de service
Vous pouvez configurer un fichier ADC avec les identifiants d'un compte de service à l'aide de l'emprunt d'identité d'un compte de service ou d'une clé de compte de service.
Emprunter l'identité d'un compte de service
Vous pouvez emprunter l'identité d'un compte de service pour configurer un fichier local d'identifiants par défaut de l'application (fichier ADC). Les bibliothèques clientes compatibles avec l'emprunt d'identité peuvent utiliser ces identifiants automatiquement. Les fichiers ADC locaux créés à l'aide de l'emprunt d'identité sont compatibles avec les langages suivants :
- C#
- Go
- Java
- Node.js
- Python
Vous devez disposer du rôle IAM "Créateur de jetons du compte de service" (roles/iam.serviceAccountTokenCreator
) sur le compte de service que vous empruntez. Pour en savoir plus, consultez la section Rôles requis.
Empruntez l'identité d'un compte de service pour créer un fichier ADC local :
gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL
Vous pouvez maintenant utiliser les bibliothèques clientes dans des langages compatibles de la même manière qu'après avoir configuré un fichier ADC local avec des identifiants utilisateur. Les identifiants sont automatiquement trouvés par les bibliothèques d'authentification. Pour en savoir plus, consultez la section S'authentifier à l'aide des bibliothèques clientes.
Clés de compte de service
Si vous ne pouvez pas utiliser un compte utilisateur ou l'emprunt d'identité d'un compte de service pour le développement local, vous pouvez utiliser une clé de compte de service à la place.
Pour créer une clé de compte de service et la rendre disponible pour les ADC, procédez comme suit :
- Créez un compte de service avec les rôles dont votre application a besoin, ainsi qu'une clé pour ce compte de service, en suivant les instructions de la section Créer une clé de compte de service.
-
Set the environment variable
GOOGLE_APPLICATION_CREDENTIALS
to the path of the JSON file that contains your credentials. This variable applies only to your current shell session, so if you open a new session, set the variable again.
Étape suivante
- Découvrez les bonnes pratiques à suivre pour utiliser les clés de compte de service.
- Découvrez comment ADC trouve des identifiants.
- Authentifiez-vous pour utiliser les bibliothèques clientes Cloud.
- S'authentifier pour utiliser REST
- Découvrez les méthodes d'authentification.