Puedes proporcionar tus credenciales de usuario o credenciales de la cuenta de servicio a ADC en un entorno de desarrollo local.
Credenciales de usuario
Cuando tu código se ejecuta en un entorno de desarrollo local, como una estación de trabajo de desarrollo, la mejor opción es usar las credenciales asociadas con tu cuenta de usuario.
La forma de configurar ADC con tu cuenta de usuario depende de si tu cuenta de usuario es administrada por Google (en otras palabras, es una Cuenta de Google) o por otro proveedor de identidad (IdP), y si es federada mediante Workforce Identity Federation.
Configura ADC con tu Cuenta de Google
Para configurar ADC con una Cuenta de Google, usa Google Cloud CLI:
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Aparecerá una pantalla de acceso. Después de acceder, tus credenciales se almacenan en el archivo de credenciales local que usa ADC.
Configura ADC con una cuenta administrada por un IdP externo
Para configurar ADC para una cuenta de usuario administrada por un IdP externo y federada con Workforce Identity Federation, haz lo siguiente:
-
After installing the Google Cloud CLI, configure the gcloud CLI to use your federated identity and then initialize it by running the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
If an authentication error is returned, confirm that you have configured the gcloud CLI to use Workforce Identity Federation.
Aparecerá una pantalla de acceso. Después de acceder, tus credenciales se almacenan en el archivo de credenciales local que usa ADC.
Sugerencias para configurar ADC con tus credenciales de usuario
Cuando configures ADC con tu cuenta de usuario, debes tener en cuenta los siguientes datos:
Es posible que el ADC configurado con una cuenta de usuario no funcione con algunas APIs sin pasos de configuración adicionales. Si ves un mensaje de error en el que se indica que la API no está habilitada en el proyecto o que no hay ningún proyecto de cuota disponible, consulta Las credenciales de usuario no funcionan.
El archivo local de ADC contiene tu token de actualización. Cualquier usuario con acceso al sistema de archivos puede usarlo para obtener un token de acceso válido. Si ya no necesitas estas credenciales locales, puedes revocarlas mediante el comando
gcloud auth application-default revoke
.El archivo de ADC local está asociado con tu cuenta de usuario, no con la configuración de la CLI de gcloud. Cambiar a una configuración de la CLI de gcloud diferente podría cambiar la identidad que usa gcloud CLI, pero no afecta el archivo de ADC local ni la configuración de ADC.
Credenciales de cuenta de servicio
Puedes configurar ADC con credenciales de una cuenta de servicio mediante el uso de la identidad temporal como cuenta de servicio o de una clave de cuenta de servicio.
Uso de identidad temporal como cuenta de servicio
Puedes usar la identidad de una cuenta de servicio para configurar un archivo de credenciales predeterminadas de la aplicación (ADC) local. Las bibliotecas cliente que admiten el uso de identidad pueden utilizar esas credenciales automáticamente. Los archivos de ADC locales creados mediante el uso de identidad se admiten en los siguientes idiomas:
- C#
- Go
- Java
- Node.js
- Python
Debes tener el rol de IAM de creador de tokens de cuentas de servicio (roles/iam.serviceAccountTokenCreator
) en la cuenta de servicio que suplantas. Para obtener más información, consulta los Roles requeridos.
Usa la identidad de la cuenta de servicio para crear un archivo de ADC local:
gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL
Ahora puedes usar bibliotecas cliente con los idiomas admitidos de la misma manera que lo harías después de configurar un archivo ADC local con credenciales de usuario. Las bibliotecas de autenticación encuentran las credenciales automáticamente. Si deseas obtener más información, consulta Autentícate para usar las bibliotecas cliente.
No todas las bibliotecas de autenticación admiten las credenciales de un archivo ADC local generado con la identidad de la cuenta de servicio. Para obtener más información, consulta Error que se muestra para las credenciales locales del robo de identidad de cuentas de servicio.
Claves de cuenta de servicio
Si no puedes usar una cuenta de usuario o la identidad temporal como cuenta de servicio para el desarrollo local, puedes usar una clave de cuenta de servicio.
A fin de crear una clave de cuenta de servicio y hacer que esté disponible para las ADC, haz lo siguiente:
- Para crear una cuenta de servicio con los roles que necesita tu aplicación y una clave para esa cuenta de servicio, sigue las instrucciones en Crea una clave de cuenta de servicio.
-
Set the environment variable
GOOGLE_APPLICATION_CREDENTIALS
to the path of the JSON file that contains your credentials. This variable applies only to your current shell session, so if you open a new session, set the variable again.
¿Qué sigue?
- Comprende las prácticas recomendadas para usar claves de cuentas de servicio.
- Obtén más información sobre cómo ADC encuentra credenciales.
- Autentica para usar las bibliotecas cliente de Cloud.
- Autentícate para usar REST.
- Explora los métodos de autenticación.