如果您在 Google Cloud 之外运行应用,则需要提供 Google Cloud 可识别的凭据才能使用 Google Cloud 服务。
工作负载身份联合
使用外部 IdP 的凭据进行 Google Cloud 身份验证的首选方法是使用工作负载身份联合;您需要创建一个凭据配置文件并将 GOOGLE_APPLICATION_CREDENTIALS
环境变量设置为指向它。此方法比创建服务账号密钥更安全。
如需有关为 ADC 设置工作负载身份联合的帮助,请参阅与其他云服务的工作负载身份联合。
服务账号密钥
如果您无法配置工作负载身份联合,则必须创建一个服务账号,为其授予您的应用所需的 IAM 角色,并为该服务账号创建密钥。
如需创建服务账号密钥并将其提供给 ADC,请执行以下操作:
- 按照创建服务账号密钥中的说明,创建一个具有您的应用所需的角色的服务账号,并为该服务账号创建密钥。
-
Set the environment variable
GOOGLE_APPLICATION_CREDENTIALS
to the path of the JSON file that contains your credentials. This variable applies only to your current shell session, so if you open a new session, set the variable again.
后续步骤
- 了解工作负载身份联合。
- 了解使用服务账号密钥的最佳实践。
- 详细了解 ADC 如何查找凭据。
- 探索身份验证方法。