Configurare l'ADC per un ambiente di sviluppo locale

Puoi fornire ad ADC le credenziali utente o le credenziali del service account in un ambiente di sviluppo locale.

Credenziali utente

Quando il codice viene eseguito in un ambiente di sviluppo locale, ad esempio una workstation di sviluppo, l'opzione migliore è utilizzare le credenziali associate al tuo account utente.

Il modo in cui configuri ADC con il tuo account utente dipende dal fatto che il tuo account utente sia gestito da Google, ovvero sia un Account Google, o da un altro provider di identità (IdP) e federato tramite l'utilizzo di Workforce Identity Federation.

Account Google

Per configurare ADC con un Account Google, utilizza Google Cloud CLI:

  1. Installa Google Cloud CLI.

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.

  2. If you're using a local shell, then create local authentication credentials for your user account: 

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

    Viene visualizzata una schermata di accesso. Dopo l'accesso, le tue credenziali vengono archiviate nel file delle credenziali locali utilizzato da ADC.

IdP esterno

Per configurare ADC per un account utente gestito da un IdP esterno e federato con la federazione delle identità per la forza lavoro:

  1. Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il seguente comando: 

    gcloud init

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.

  2. If you're using a local shell, then create local authentication credentials for your user account: 

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

    Viene visualizzata una schermata di accesso. Dopo l'accesso, le tue credenziali vengono archiviate nel file delle credenziali locali utilizzato da ADC.

Suggerimenti per configurare ADC con le credenziali utente

Quando configuri ADC con il tuo account utente, devi tenere presente i seguenti fatti:

  • ADC configurato con un account utente potrebbe non funzionare per alcune API senza passaggi di configurazione aggiuntivi. Se visualizzi un messaggio di errore che indica che l'API non è abilitata nel progetto o che non è disponibile alcun progetto di quota, consulta Le credenziali utente non funzionano.

  • Il file ADC locale contiene il token di aggiornamento. Qualsiasi utente con accesso al tuo file system può utilizzarlo per ottenere un token di accesso valido. Se non hai più bisogno di queste credenziali locali, puoi revocarle utilizzando il comando gcloud auth application-default revoke.

  • Il file ADC locale è associato al tuo account utente, non alla configurazione di gcloud CLI. Il passaggio a una configurazione diversa di gcloud CLI potrebbe modificare l'identità utilizzata da gcloud CLI, ma non influisce sul file ADC locale o sulla configurazione ADC.

Credenziali del service account

Puoi configurare ADC con le credenziali di un service account utilizzando la simulazione dell'identità del account di servizio o una chiave del account di servizio.

Simulazione dell'identità dei service account

Puoi utilizzare la rappresentazione dell'identità del account di servizio per configurare un file delle credenziali predefinite dell'applicazione (ADC) locale. Le librerie client che supportano l'impersonificazione possono utilizzare automaticamente queste credenziali. I file ADC locali creati utilizzando la rappresentazione sono supportati nelle seguenti lingue:

  • C#
  • Vai
  • Java
  • Node.js
  • Python

Devi disporre del ruolo IAM Creatore token service account (roles/iam.serviceAccountTokenCreator) per il account di servizio che stai rappresentando. Per saperne di più, vedi Ruoli richiesti.

Utilizza l'imitazione dell'account di servizio per creare un file ADC locale: 

gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL

Ora puoi utilizzare le librerie client utilizzando le lingue supportate nello stesso modo in cui le utilizzeresti dopo aver configurato un file ADC locale con le credenziali utente. Le credenziali vengono trovate automaticamente dalle librerie di autenticazione. Per saperne di più, vedi Autenticarsi per utilizzare le librerie client.

Le credenziali di un file ADC locale generato utilizzando l'imitazione del account di servizio non sono supportate da tutte le librerie di autenticazione. Per ulteriori informazioni, vedi Errore restituito per le credenziali locali dalla account di servizio account.

Chiavi account di servizio

Se non puoi utilizzare un account utente o la rappresentazione di un account di servizio per lo sviluppo locale, puoi utilizzare una chiave del account di servizio.

Per creare una chiave dell'account di servizio e renderla disponibile per ADC:

  1. Crea un account di servizio con i ruoli necessari per la tua applicazione e una chiave per questo account di servizio seguendo le istruzioni riportate in Creare una account di servizio account.

  3. Set the environment variable GOOGLE_APPLICATION_CREDENTIALS to the path of the JSON file that contains your credentials. This variable applies only to your current shell session, so if you open a new session, set the variable again.

Passaggi successivi