gcloud CLI と p12 サービスアカウントキー

gcloud CLI を使用すると、デベロッパーは、サービスアカウント（ロボットアカウント）で認証するために秘密鍵を使用できます。このページでは、Google Cloud のサービスアカウントの p12 鍵を作成して使用する方法について説明します。

pyca/cryptography をインストールする

pyca/cryptography ライブラリ（バージョン >= 2.5）を使用すると、ツールでサービスアカウントを識別する p12 形式の鍵ファイルをデコードできます。pyca/cryptography には暗号ルーチンが含まれているため、gcloud CLI では配布されません。

システムに pip（Python パッケージインデックスのコマンドラインインターフェース）がインストールされている場合は、pyca/cryptography をインストールして、次のコマンドを実行します。詳細については、インストール手順をご覧ください。

python -m pip install cryptography

注: python は、gcloud で使用される Python インタープリタを参照する必要があります（次のコマンドで示されます）。

gcloud info --format="text(basic.python_location)"

警告: 359.0.0 より前のバージョンの gcloud CLI を実行している場合は、代わりに pyOpenSSL をインストールします。

CLOUDSDK_PYTHON_SITEPACKAGES=1

pyca/cryptography をインストールしたら、CLOUDSDK_PYTHON_SITEPACKAGES 環境変数を 1 に設定する必要があります。この環境変数を設定すると、gcloud CLI に、追加するライブラリを独自の google-cloud-sdk/lib ディレクトリの外から探すように指示します。通常は、CLOUDSDK_PYTHON_SITEPACKAGES=1 の設定によって問題が起こることはありませんが、問題が起こった場合は設定を元に戻してください。

サービスアカウントを作成する

新しいサービスアカウントを作成して p12 鍵ファイルをダウンロードするには、サービスアカウントキーの作成の手順に従います。

この鍵ファイルは秘密扱いにする必要があります。第三者に見られないように適切な対策を講じてください。Unix 系のシステムでは、次のコマンドを使用すると、リモート接続している他のユーザー（root 以外のユーザー）にファイルが表示されなくなります。

chmod 0600 YOUR_KEY_FILE.p12

gcloud CLI でサービスアカウントを使用する

サービスアカウントの認証情報を有効にするには、gcloud auth activate-service-account を使用します。

gcloud CLI でサービスアカウントを使用するには、gcloud auth activate-service-account を実行します。その際、必須の --key-file フラグを使用して鍵ファイルのパスを渡し、位置引数としてアカウントを指定します。

アカウントには、Google Cloud コンソールに表示されるサービスアカウントのメールアドレスを使用する必要があります。ただし、ここで指定するアカウントは検証されるわけではなく、いずれのアカウントを使用しているかがわかるようになるだけです。

gcloud auth activate-service-account --key-file ~/mykeys/my_key_file.p12 my_service_account@developer.gserviceaccount.com
Activated service account credentials for my_service_account@developer.gserviceaccount.com.

警告: gcloud auth activate-service-account を実行すると、秘密鍵のコピーが作成されて、$HOME/.config/gcloud/legacy_credentials/my_service_account@developer.gserviceaccount.com/private_key.p12 と $HOME/.config/gcloud/credentials.db に保存されます。秘密鍵のコピーは、0600 権限（自分以外は読み取りも書き込みもできない）で作成されます。$HOME/.config/gcloud に保存されているすべての内容がすでに秘密扱いになっている必要があります。gcloud CLI によって保存されている認証データを信頼できる方法で確実に削除するには、$HOME/.config/gcloud を削除する必要があります。Google Cloud コンソールからダウンロードした鍵ファイルの安全は、ユーザーが確保する必要があります。疑わしい場合は、Google Cloud コンソールで鍵を取り消してください。

サービスアカウントが有効になると、認証情報の一覧で確認できるようになります。

gcloud auth list
        Credentialed Accounts
ACTIVE    ACCOUNT
*         my_service_account@developer.gserviceaccount.com

To set the active account, run:
    $ gcloud config set account my_service_account@developer.gserviceaccount.com

トップへ戻る

gcloud CLI と p12 サービス アカウント キー

pyca/cryptography をインストールする

CLOUDSDK_PYTHON_SITEPACKAGES=1

サービス アカウントを作成する

gcloud CLI でサービス アカウントを使用する

gcloud CLI と p12 サービスアカウントキー

サービスアカウントを作成する

gcloud CLI でサービスアカウントを使用する