Für den Zugriff auf Google Cloud müssen Sie normalerweise die Google Cloud CLI autorisieren. Diese Seite enthält die verfügbaren Autorisierungsoptionen und zeigt, wie Sie die Konten verwalten, die Sie für die Autorisierung verwenden. Wenn Sie eine Compute Engine-Instanz oder Cloud Shell verwenden, müssen Sie die gcloud CLI nicht autorisieren.
Kontotypen
Sie können die gcloud CLI für den Zugriff auf Google Cloud entweder mit einem Nutzerkonto oder einem Dienstkonto autorisieren.
Ein Nutzerkonto ist ein Google Cloud-Konto, mit dem Sie sich bei Ihrer Anwendung authentifizieren können. Für die häufigsten Anwendungsfälle, insbesondere die interaktive Verwendung der gcloud CLI, empfiehlt sich die Verwendung eines Nutzerkontos.
Ein Dienstkonto ist ein mit Ihrem Google Cloud-Projekt (und nicht mit einem bestimmten Nutzer) verknüpftes Google-Konto. Sie können das in Cloud Functions, App Engine, Compute Engine oder Google Kubernetes Engine integrierte Dienstkonto verwenden. Ein Dienstkonto wird empfohlen, um gcloud-Befehlszeilenskripts auf mehreren Computern auszuführen.
Autorisierungstyp auswählen
Sie müssen die Google Cloud CLI für die Verwaltung von Google Cloud-Ressourcen autorisieren. Sowohl die Google Cloud CLI als auch Google Cloud verwenden OAuth2 zur Authentifizierung und Autorisierung.
Wählen Sie einen der folgenden Autorisierungstypen aus:
| Typ | Beschreibung |
|---|---|
| Nutzerkonto | Empfohlen, wenn Sie die gcloud CLI über die Befehlszeile verwenden oder Skripts mit der gcloud CLI auf einem einzelnen Computer schreiben. |
| Dienstkonto | Empfohlen, wenn Sie die gcloud CLI als Teil einer Maschinenbereitstellung in der Produktion oder auf Compute Engine-VM-Instanzen installieren und einrichten, bei denen alle Nutzer Zugriff auf root haben. |
Weitere Informationen zur Authentifizierung und zu Google Cloud finden Sie unter Authentifizierung.
Mit Nutzerkonto autorisieren
Verwenden Sie die folgenden gcloud-Befehlszeilenbefehle, um den Zugriff mit einem Nutzerkonto zu autorisieren:
| Befehl | Beschreibung |
|---|---|
gcloud init
|
Autorisierung des Zugriffs und weitere gängige Einrichtungsschritte |
gcloud auth login
|
Autorisiert nur den Zugriff. |
Diese Befehle rufen während der Autorisierung Anmeldedaten für das Konto aus Google Cloud ab und speichern sie auf dem lokalen System. Das angegebene Konto wird zum aktiven Konto in Ihrer Konfiguration. Die gcloud CLI verwendet die gespeicherten Anmeldedaten für den Zugriff auf Google Cloud. Sie können eine beliebige Anzahl von Konten mit gespeicherten Anmeldedaten für eine einzelne gcloud CLI-Installation haben, aber nur ein Konto ist aktiv.
"gcloud init" ausführen
gcloud init autorisiert den Zugriff und führt andere gängige Einrichtungsschritte aus. gcloud init verwendet einen webbasierten Autorisierungsablauf zur Authentifizierung des Nutzerkontos und zum Gewähren von Zugriffsberechtigungen.
So autorisieren Sie den Zugriff und führen weitere gängige Einrichtungsschritte aus:
Führen Sie
gcloud initaus.gcloud initWenn kein Webbrowser automatisch geöffnet werden soll, verwenden Sie folgenden Befehl:
gcloud init --console-onlyDas Flag
--console-onlyist nützlich, wenn Sie den Befehl auf einem Remote-System übersshausführen und dort keinen Zugriff auf einen Browser haben. Sie müssen dann die bereitgestellte URL manuell in einem Browser auf Ihrem lokalen System öffnen, um die Autorisierung abzuschließen.Führen Sie die Schritte für die Autorisierung im Browser aus, um das Konto zu authentifizieren und Zugriffsberechtigungen zu erteilen.
Weitere Informationen zu gcloud init finden Sie unter gcloud-Befehlszeile initialisieren.
gcloud auth login ausführen
Durch Ausführen von gcloud auth login wird nur das Nutzerkonto autorisiert.
Verwenden Sie eine der folgenden Optionen, um den Zugriff ohne andere Einrichtungsschritte zu autorisieren.
Wenn Sie die gcloud CLI auf einem Computer mit einem Browser autorisieren möchten, gehen Sie so vor:
Autorisieren Sie die gcloud CLI:
gcloud auth loginFühren Sie die Schritte für die Autorisierung im Browser aus, um das Konto zu authentifizieren und Zugriffsberechtigungen zu erteilen.
Wenn Sie die gcloud CLI auf einem Computer ohne Browser autorisieren möchten und die gcloud CLI auf einem anderen Computer mit einem Browser installieren können, verwenden Sie das Flag
--no-browser.Autorisieren Sie die gcloud CLI:
gcloud auth login --no-browserKopieren Sie den langen Befehl, der mit
gcloud auth login --remote-bootstrap="beginnt.Fügen Sie diesen Befehl in die Befehlszeile eines anderen vertrauenswürdigen Computers ein, auf dem sowohl ein Webbrowser als auch das gcloud-Befehlszeilentool ab Version 372.0 installiert sind.
Kopieren Sie die lange URL-Ausgabe vom Computer mit dem Webbrowser.
Fügen Sie die lange URL wieder auf dem ersten Computer unter der Eingabeaufforderung „Enter theoutput of the above Command“ ein und drücken Sie die Eingabetaste, um die Autorisierung abzuschließen.
Wenn Sie die gcloud CLI auf einem Computer ohne Browser autorisieren möchten und die gcloud CLI nicht auf einem anderen Computer mit einem Browser installieren können, verwenden Sie das Flag
--no-launch-browser. Das Flag--no-launch-browserverhindert, dass der Befehl automatisch einen Webbrowser öffnet.Autorisieren Sie die gcloud CLI:
gcloud auth login --no-launch-browserKopieren Sie die lange URL, die mit
https://accounts.google.com/o/oauth2/auth...beginntFügen Sie diese URL in den Browser eines anderen vertrauenswürdigen Computers mit Webbrowser ein.
Kopieren Sie den Autorisierungscode vom Computer mit dem Webbrowser.
Fügen Sie den Autorisierungscode auf dem ersten Computer bei der Eingabeaufforderung „Bestätigungscode eingeben“ ein und drücken Sie die Eingabetaste, um die Autorisierung abzuschließen.
Wenn Sie bereits ein Zugriffstoken haben, verwenden Sie eine der folgenden Methoden, um das Zugriffstoken an die gcloud CLI zu übergeben:
- Speichern Sie das Zugriffstoken in einer Datei und legen Sie dessen Pfad über das Flag --access-token-file fest.
- Speichern Sie das Zugriffstoken in einer Datei und legen Sie seinen Pfad im Attribut auth/access_token_file fest.
- Legen Sie die Umgebungsvariable
CLOUDSDK_AUTH_ACCESS_TOKENauf den Wert des Zugriffstokens fest.
Mit Dienstkonto autorisieren
Der Befehl gcloud auth login autorisiert den Zugriff mithilfe der Workload Identity-Föderation, die Zugriff auf externe Arbeitslasten bietet, oder mithilfe eines Dienstkontoschlüssels.
So führen Sie die Autorisierung über ein Dienstkonto aus:
Rufen Sie in der Google Cloud Console die Seite „Dienstkonten“ auf.
Wählen Sie ein vorhandenes Konto aus oder erstellen Sie ein neues Konto, indem Sie auf Dienstkonto erstellen klicken.
Informationen zum Erstellen von Dienstkontoschlüsseln finden Sie in der IAM-Anleitung unter Dienstkontoschlüssel erstellen.
Führen Sie
gcloud auth loginmit dem Flag--cred-fileaus, um Ihr Dienstkonto zu aktivieren:gcloud auth login --cred-file=CONFIGURATION_OR_KEY_FILEErsetzen Sie CONFIGURATION_OR_KEY_FILE durch den Pfad zu einem der folgenden:
- Eine Konfigurationsdatei für Anmeldedaten für Workload Identity-Föderation
- Eine Schlüsseldatei für ein Dienstkonto
Konten auflisten
Mit gcloud auth list listen Sie die Konten auf, deren Anmeldedaten im lokalen System gespeichert sind:
gcloud auth list
Die gcloud-Befehlszeile listet die Konten auf und zeigt an, welches Konto aktiv ist:
Credentialed accounts: - user-1@gmail.com (active) - user-2@gmail.com
Aktives Konto wechseln
Führen Sie zum Wechseln des aktiven Kontos gcloud config set aus:
gcloud config set account ACCOUNT
Dabei ist [ACCOUNT] die vollständige E-Mail-Adresse des Kontos.
Sie können zum Wechseln des Kontos auch eine separate Konfiguration erstellen, in der das andere Konto angegeben ist, und dann zu dieser Konfiguration wechseln:
gcloud config configurations activate CONFIGURATION
Wenn Sie das von der gcloud-Befehlszeile verwendete Konto auf Aufrufbasis wechseln möchten, überschreiben Sie das aktive Konto mit dem Flag --account.
Autorisierte Sitzungsdauer festlegen (nur Google Workspace)
Als Administrator können Sie festlegen, wie lange verschiedene Nutzer auf die gcloud-Befehlszeile zugreifen können, ohne sich noch einmal authentifizieren zu müssen. Sie können z. B. festlegen, dass Nutzer mit erweiterten Berechtigungen häufiger authentifiziert werden müssen als reguläre Nutzer.
Weitere Informationen finden Sie unter Sitzungsdauer für Google Cloud-Dienste festlegen.
Anmeldedaten für ein Konto widerrufen
Sie können Anmeldedaten widerrufen, wenn Sie den Zugriff der gcloud CLI durch ein bestimmtes Konto nicht zulassen möchten. Sie müssen die Anmeldedaten nicht widerrufen, um zwischen Konten zu wechseln.
Führen Sie zum Widerrufen von Anmeldedaten den Befehl gcloud auth revoke aus:
gcloud auth revoke ACCOUNT
Wenn Sie den Zugriff für die gcloud CLI für alle Computer widerrufen möchten, entfernen Sie die gcloud CLI aus der Liste der Anwendungen, die Zugriff auf Ihr Konto haben.
Mit Anmeldedatendateien arbeiten
Dateien mit Anmeldedaten suchen
Mit gcloud info können Sie suchen, in welchem Verzeichnis die Dateien mit den Anmeldedaten gespeichert sind:
gcloud info
Die gcloud CLI gibt Informationen zu Ihrer Installation aus. Dateien mit Anmeldedaten werden im Nutzerkonfigurationsverzeichnis abgelegt:
User Config Directory: [/home/USERNAME/.config/gcloud]
Standardanmeldedaten für Anwendungen einrichten
Die gcloud CLI unterstützt die Verwaltung von Standardanmeldedaten für Anwendungen mit der Befehlsgruppe gcloud auth application-default. Führen Sie gcloud auth application-default login aus, um Nutzeranmeldedaten für ADC verfügbar zu machen:
gcloud auth application-default login
Diese Anmeldedaten werden von der gcloud CLI nicht verwendet. Weitere Informationen finden Sie unter Anmeldedaten für ADC bereitstellen und Standardanmeldedaten für Anwendungen.
Nächste Schritte
- Weitere Informationen zur Authentifizierung und Google Cloud finden Sie unter Authentifizierung.
- Weitere Informationen zum Anpassen der gcloud CLI finden Sie unter Eigenschaften der gcloud CLI.
- Weitere Informationen zum Verwalten benannter Gruppen von gcloud-Befehlszeilenattributen finden Sie unter gcloud-Befehlszeilenkonfigurationen.