ADC für eine lokale Entwicklungsumgebung einrichten

Sie können entweder Ihre Nutzeranmeldedaten oder die Anmeldedaten für das Dienstkonto in ADC in einer lokalen Entwicklungsumgebung angeben.

Nutzeranmeldedaten

Wenn Ihr Code in einer lokalen Entwicklungsumgebung ausgeführt wird, z. B. auf einer Entwicklungs-Workstation, empfiehlt es sich, die mit Ihrem Nutzerkonto verknüpften Anmeldedaten zu verwenden.

Wie Sie ADC mit Ihrem Nutzerkonto konfigurieren, hängt davon ab, ob Ihr Nutzerkonto von Google verwaltet wird, also ein Google-Konto ist, oder von einem anderen Identitätsanbieter (Identity Provider, IdP) verwaltet wird und mithilfe der Workforce Identity-Föderation föderiert wird.

ADC mit Ihrem Google-Konto konfigurieren

Verwenden Sie die Google Cloud CLI, um ADC mit einem Google-Konto zu konfigurieren:

  1. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init
  2. If you're using a local shell, then create local authentication credentials for your user account:

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    Ein Anmeldebildschirm wird angezeigt. Nach der Anmeldung werden Ihre Anmeldedaten in der lokalen Anmeldedatendatei für ADC gespeichert.

ADC mit einem von einem externen IdP verwalteten Konto konfigurieren

So konfigurieren Sie ADC für ein Nutzerkonto, das von einem externen IdP verwaltet und mit der Workforce Identity-Föderation föderiert ist:

  1. After installing the Google Cloud CLI, configure the gcloud CLI to use your federated identity and then initialize it by running the following command:

    gcloud init
  2. If you're using a local shell, then create local authentication credentials for your user account:

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    If an authentication error is returned, confirm that you have configured the gcloud CLI to use Workforce Identity Federation.

    Ein Anmeldebildschirm wird angezeigt. Nach der Anmeldung werden Ihre Anmeldedaten in der lokalen Anmeldedatendatei für ADC gespeichert.

Tipps zum Konfigurieren von ADC mit Ihren Nutzeranmeldedaten

Wenn Sie ADC mit Ihrem Nutzerkonto konfigurieren, sollten Sie Folgendes beachten:

  • Ein mit einem Nutzerkonto konfiguriertes ADC funktioniert für einige APIs möglicherweise nicht ohne zusätzliche Konfigurationsschritte. Wenn Sie eine Fehlermeldung erhalten, dass die API nicht im Projekt aktiviert ist oder kein Kontingentprojekt verfügbar ist, lesen Sie den Abschnitt Nutzeranmeldedaten funktionieren nicht.

  • Die lokale ADC-Datei enthält Ihre Aktualisierungstoken. Jeder Nutzer mit Zugriff auf Ihr Dateisystem kann damit ein gültiges Zugriffstoken abrufen. Wenn Sie diese lokalen Anmeldedaten nicht mehr benötigen, können Sie sie mit dem Befehl gcloud auth application-default revoke widerrufen.

  • Ihre lokale ADC-Datei ist mit Ihrem Nutzerkonto verknüpft, nicht mit der gcloud CLI-Konfiguration. Eine Änderung der Konfiguration in eine andere gcloud CLI kann die von der gcloud CLI verwendete Identität ändern. Dies wirkt sich jedoch nicht auf Ihre lokale ADC-Datei oder die ADC-Konfiguration aus.

Dienstkonto-Anmeldedaten

Sie können ADC mit Anmeldedaten aus einem Dienstkonto einrichten. Verwenden Sie dazu die Identitätsübernahme des Dienstkontos oder einen Dienstkontoschlüssel.

Identitätsübertragung für ein Dienstkonto

Sie können den Identitätswechsel für ein Dienstkonto verwenden, um eine lokale ADC-Datei (Standardanmeldedaten für Anwendungen) einzurichten. Clientbibliotheken, die den Identitätswechsel unterstützen, können diese Anmeldedaten automatisch verwenden. Lokale ADC-Dateien, die mit Identitätswechsel erstellt wurden, werden in den folgenden Sprachen unterstützt:

  • C#
  • Go
  • Java
  • Node.js
  • Python

Sie benötigen die IAM-Rolle Dienstkonto-Ersteller (roles/iam.serviceAccountTokenCreator) für das Dienstkonto, dessen Identität Sie übernehmen. Weitere Informationen finden Sie unter Erforderliche Rollen.

Verwenden Sie die Identität des Dienstkontos, um eine lokale ADC-Datei zu erstellen:

gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL

Sie können Clientbibliotheken in den unterstützten Sprachen jetzt genauso verwenden wie nach dem Einrichten einer lokalen ADC-Datei mit Nutzeranmeldedaten. Anmeldedaten werden automatisch von den Authentifizierungsbibliotheken gefunden. Weitere Informationen finden Sie unter Für die Verwendung von Clientbibliotheken authentifizieren.

Anmeldedaten aus einer lokalen ADC-Datei, die mithilfe der Identitätsübernahme eines Dienstkontos generiert wurden, werden nicht von allen Authentifizierungsbibliotheken unterstützt. Weitere Informationen finden Sie unter Fehler, der für lokale Anmeldedaten bei der Identitätsübernahme eines Dienstkontos zurückgegeben wird.

Dienstkontoschlüssel

Wenn Sie kein Nutzerkonto oder Identitätsübernahme eines Dienstkontos für die lokale Entwicklung verwenden können, können Sie einen Dienstkontoschlüssel verwenden.

So erstellen Sie einen Dienstkontoschlüssel und stellen ihn für ADC bereit:

  1. Erstellen Sie ein Dienstkonto mit den Rollen, die Ihre Anwendung benötigt, sowie einen Schlüssel für dieses Dienstkonto. Folgen Sie dazu der Anleitung unter Dienstkontoschlüssel erstellen.
  2. Set the environment variable GOOGLE_APPLICATION_CREDENTIALS to the path of the JSON file that contains your credentials. This variable applies only to your current shell session, so if you open a new session, set the variable again.

Nächste Schritte