Questo documento descrive come accedere a Google Cloud CLI con la tua identità federata utilizzando un accesso basato su browser.
Prima di iniziare
Assicurati che l'amministratore abbia configurato la federazione delle identità per la forza lavoro.
Assicurati di disporre di informazioni che supportano una delle seguenti opzioni. L'amministratore può fornire queste informazioni.
ID pool e provider di identità della forza lavoro: un ID pool di identità della forza lavoro e un ID provider di identità della forza lavoro che puoi utilizzare per creare un file di configurazione di accesso.
File di configurazione esistente: il percorso di un file di configurazione dell'accesso esistente che puoi utilizzare per accedere alla CLI gcloud.
Contenuti del file di configurazione: i contenuti del file di configurazione che puoi salvare in un file di configurazione.
Ottenere un file di configurazione di accesso
Questa sezione descrive come ottenere un file di configurazione dell'accesso che puoi utilizzare per accedere alla CLI gcloud.
Crea un file di configurazione di accesso
Puoi utilizzare l'ID del pool di identità per i carichi di lavoro e l'ID del provider del pool di identità per i carichi di lavoro per creare un file di configurazione di accesso.
Per creare il file di configurazione di accesso, esegui il seguente comando. Se vuoi, puoi attivare il file come predefinito per gcloud CLI aggiungendo il flag --activate.
A questo punto puoi eseguire gcloud auth login senza specificare ogni volta il percorso del file di configurazione.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Sostituisci quanto segue:
WORKFORCE_POOL_ID: l'ID del pool di forza lavoroPROVIDER_ID: l'ID providerLOGIN_CONFIG_FILE_PATH: il percorso di un file di configurazione specificato, ad esempiologin.json
Il file contiene gli endpoint utilizzati dalla CLI gcloud per attivare il flusso di autenticazione basato sul browser e impostare il segmento di pubblico sull'IdP configurato nel provider del pool di identità della forza lavoro. Il file non contiene informazioni riservate.
L'output è simile al seguente:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://googleapis.com/v1/introspect", }
Ora puoi accedere all'interfaccia a riga di comando gcloud.
Salvare un file di configurazione di accesso
Puoi salvare i contenuti del file di configurazione delle credenziali che ti sono stati forniti in un file. Prendi nota del percorso, quindi accedi a gcloud CLI.
Accedi a gcloud CLI
Per accedere a gcloud CLI con un file di configurazione dell'accesso, esegui il seguente comando:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Sostituisci LOGIN_CONFIG_FILE_PATH con il percorso del
file di configurazione di accesso. Questo comando attiva la configurazione in modo da poter eseguire gcloud auth login senza specificare ogni volta il file di configurazione di accesso. Per disattivare l'attivazione, utilizza --no-activate.