Login ke gcloud CLI dengan identitas gabungan Anda

Dokumen ini menjelaskan cara login ke Google Cloud CLI dengan identitas gabungan Anda menggunakan login berbasis browser.

Sebelum memulai

  1. Pastikan administrator Anda telah menyiapkan dan mengonfigurasi Workforce Identity Federation.

  2. Pastikan Anda memiliki informasi yang mendukung salah satu opsi berikut. Administrator Anda dapat memberikan informasi ini.

    • ID penyedia dan kumpulan identitas tenaga kerja: ID kumpulan identitas tenaga kerja dan ID penyedia kumpulan identitas tenaga kerja yang dapat Anda gunakan untuk membuat file konfigurasi login.

    • File konfigurasi yang ada: jalur ke file konfigurasi login yang ada yang dapat Anda gunakan untuk login ke gcloud CLI.

    • Konten file konfigurasi: konten file konfigurasi yang dapat Anda simpan ke file konfigurasi.

Mendapatkan file konfigurasi login

Bagian ini menjelaskan cara mendapatkan file konfigurasi login yang dapat Anda gunakan untuk login ke gcloud CLI.

Membuat file konfigurasi login

Anda dapat menggunakan ID workload identity pool dan ID penyedia workload identity pool untuk membuat file konfigurasi login.

Untuk membuat file konfigurasi login, jalankan perintah berikut. Secara opsional, Anda dapat mengaktifkan file sebagai default untuk gcloud CLI dengan menambahkan flag --activate. Selanjutnya, Anda dapat menjalankan gcloud auth login tanpa menentukan jalur file konfigurasi setiap kali. 

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Ganti kode berikut:

  • WORKFORCE_POOL_ID: ID workforce pool
  • PROVIDER_ID: ID penyedia
  • LOGIN_CONFIG_FILE_PATH: jalur ke file konfigurasi yang Anda tentukan—misalnya, login.json

File ini berisi endpoint yang digunakan oleh gcloud CLI untuk mengaktifkan alur autentikasi berbasis browser dan menetapkan audiens ke IdP yang dikonfigurasi di penyedia workforce identity pool. File tidak berisi informasi rahasia.

Outputnya terlihat mirip dengan yang berikut ini:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://googleapis.com/v1/introspect",
}

Sekarang Anda dapat login ke gcloud CLI.

Menyimpan file konfigurasi login

Anda dapat menyimpan konten file konfigurasi kredensial yang diberikan kepada Anda ke dalam file. Catat jalurnya, lalu login ke gcloud CLI.

Login ke gcloud CLI

Untuk login ke gcloud CLI dengan file konfigurasi login, jalankan perintah berikut:

gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"

Ganti LOGIN_CONFIG_FILE_PATH dengan jalur ke file konfigurasi login. Perintah ini mengaktifkan konfigurasi sehingga Anda dapat menjalankan gcloud auth login tanpa menentukan file konfigurasi login setiap kali. Untuk menonaktifkan aktivasi, gunakan --no-activate.