Configurar o ADC para um ambiente de desenvolvimento local

É possível fornecer suas credenciais de usuário ou credenciais da conta de serviço para o ADC em um ambiente de desenvolvimento local.

Credenciais do usuário

Quando o código está sendo executado em um ambiente de desenvolvimento local, como uma estação de trabalho de desenvolvimento, a melhor opção é usar as credenciais associadas à sua conta de usuário.

A configuração do ADC com sua conta de usuário depende de a conta de usuário ser gerenciada pelo Google (em outras palavras, é uma Conta do Google) ou por outro provedor de identidade (IdP). e federadas usando a federação de identidade de colaboradores.

Configurar o ADC com sua Conta do Google

Para configurar o ADC com uma Conta do Google, use a CLI do Google Cloud:

1. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

2. If you're using a local shell, then create local authentication credentials for your user account:

   gcloud auth application-default login

   You don't need to do this if you're using Cloud Shell.

   Uma tela de login será exibida. Após o login, suas credenciais são armazenadas no arquivo de credenciais local usado pelo ADC.

Configurar o ADC com uma conta gerenciada por um IdP externo

Para configurar o ADC para uma conta de usuário gerenciada por um IdP externo e federada com a federação de identidade de colaboradores:

1. After installing the Google Cloud CLI, configure the gcloud CLI to use your federated identity and then initialize it by running the following command:

   gcloud init

2. If you're using a local shell, then create local authentication credentials for your user account:

   gcloud auth application-default login

   You don't need to do this if you're using Cloud Shell.

   If an authentication error is returned, confirm that you have configured the gcloud CLI to use Workforce Identity Federation.

   Uma tela de login será exibida. Após o login, suas credenciais são armazenadas no arquivo de credenciais local usado pelo ADC.

Dicas para configurar o ADC com suas credenciais de usuário

Ao configurar o ADC com sua conta de usuário, é importante estar ciente dos seguintes fatos:

• O ADC configurado com uma conta de usuário pode não funcionar para algumas APIs sem etapas de configuração extras. Se aparecer uma mensagem de erro informando que a API não está ativada no projeto ou que não há projeto de cota disponível, consulte As credenciais do usuário não estão funcionando.

• O arquivo ADC local contém o token de atualização. Qualquer usuário com acesso ao seu sistema de arquivos pode usá-lo para receber um token de acesso válido. Se você não precisar mais dessas credenciais locais, poderá revogá-las usando o comando gcloud auth application-default revoke.

• Seu arquivo ADC local está associado à sua conta de usuário, não à sua configuração da CLI do gcloud. Alterar para uma configuração diferente da CLI gcloud pode alterar a identidade usada pela CLI gcloud, mas isso não afeta o arquivo ADC local ou a configuração do ADC.

Credenciais da conta de serviço

É possível configurar o ADC com credenciais de uma conta de serviço usando a representação da conta de serviço ou uma chave de conta de serviço.

Identidade temporária de conta de serviço

É possível usar a representação de conta de serviço para configurar um arquivo local Application Default Credentials (ADC). As bibliotecas de cliente compatíveis com a representação podem usar essas credenciais automaticamente. Os arquivos ADC locais criados com a representação são compatíveis com os seguintes idiomas:

• C#
• Go
• Java
• Node.js
• Python

Você precisa ter o papel do IAM "Criador de token da conta de serviço" (roles/iam.serviceAccountTokenCreator) na conta de serviço que está representando. Para mais informações, consulte Papéis necessários.

Use a representação de conta de serviço para criar um arquivo ADC local:

gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL

Agora é possível usar bibliotecas de cliente com as linguagens compatíveis da mesma forma que você faria depois de configurar um arquivo local do ADC com credenciais de usuário. As credenciais são encontradas automaticamente pelas bibliotecas de autenticação. Para mais informações, consulte Autenticar para usar bibliotecas de cliente.

Chaves da conta de serviço

Se não for possível usar uma conta de usuário ou a representação de uma conta de serviço para desenvolvimento local, use uma chave de conta de serviço.

Para criar uma chave de conta de serviço e disponibilizá-la para o ADC, faça o seguinte:

1. Crie uma conta de serviço com os papéis de que seu aplicativo precisa e uma chave para essa conta de serviço. Para fazer isso, siga as instruções em Como criar uma chave de conta de serviço.

2. Set the environment variable GOOGLE_APPLICATION_CREDENTIALS to the path of the JSON file that contains your credentials. This variable applies only to your current shell session, so if you open a new session, set the variable again.

   Example: Linux or macOS

   export GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

   Replace KEY_PATH with the path of the JSON file that contains your credentials.

   For example:

   export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"

   Example: Windows

   For PowerShell:

   $env:GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

   Replace KEY_PATH with the path of the JSON file that contains your credentials.

   For example:

   $env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"

   For command prompt:

   set GOOGLE_APPLICATION_CREDENTIALS=KEY_PATH

   Replace KEY_PATH with the path of the JSON file that contains your credentials.

A seguir

• Entenda as práticas recomendadas para usar chaves de conta de serviço.
• Saiba mais sobre como o ADC encontra credenciais.
• Autenticar para usar bibliotecas de cliente do Cloud.
• Autenticar para usar REST.
• Conheça os métodos de autenticação.