gcloud CLI を承認する

Google Cloud にアクセスするには、一般的に Google Cloud CLI を承認する必要があります。ここでは使用可能な承認オプションを示すとともに、承認に使用するアカウントを管理する方法についても説明します。Compute Engine インスタンスまたは Cloud Shell を使用している場合は、gcloud CLI を承認する必要はありません。

アカウントのタイプ

ユーザーアカウントまたはサービスアカウントを使用して、gcloud CLI に Google Cloud へのアクセス権限を付与できます。

ユーザーアカウントは、エンドユーザーがアプリケーションに認証できるようにする Google Cloud アカウントです。最も一般的な使用例、特に gcloud CLI をインタラクティブに使用する場合には、ユーザーアカウントを使用することをおすすめします。

サービスアカウントは、Google Cloud プロジェクトに関連付けられている Google アカウントであり、特定のユーザーではありません。 Cloud Functions、App Engine、Compute Engine、Google Kubernetes Engine を使用する場合は、組み込みのサービスアカウントを使用できます。複数のマシンで gcloud CLI スクリプトを実行するには、サービスアカウントをおすすめします。

承認タイプを選択する

Google Cloud CLI を承認して、Google Cloud リソースを管理する必要があります。Google Cloud CLI と Google Cloud はどちらも、認証と承認に OAuth2 を使用します。

次のいずれかの承認タイプを選択します。

タイプ	説明
ユーザーアカウント	コマンドラインから gcloud CLI を使用する場合や、gcloud CLI を使用してスクリプトを作成し、単一のマシンで使用する場合に推奨されます。
サービスアカウント	Cloud SDK を本番環境へのマシンのデプロイの一環としてインストールして設定する場合や、すべてのユーザーが `root` にアクセスできる Compute Engine 仮想マシンインスタンスで使用する場合におすすめします。

認証と Google Cloud の詳細については、認証の概要をご覧ください。

ユーザーアカウントを使用して承認する

ユーザーアカウントでのアクセスを許可するには、以下の gcloud CLI コマンドを使用します。

コマンド	説明
`gcloud init`	アクセスを承認し、その他の一般的な設定手順を実行します。
`gcloud auth login`	アクセスの承認のみを行います。

承認の際、このコマンドは、Google Cloud からアカウントの認証情報を取得して、ローカルシステムに保存します。指定したアカウントが、構成のアクティブアカウントになります。gcloud CLI は、保存されている認証情報を使用して Google Cloud にアクセスします。1 つの gcloud CLI 環境で認証情報を保存できるアカウントの数に制限はありませんが、一度に有効にできるアカウントは 1 つだけです。

gcloud init を実行する

gcloud init は、アクセスを承認し、その他の一般的な設定手順を実行します。gcloud init では、ウェブベースの承認フローを使用してユーザーアカウントを認証し、アクセス権限を付与します。

アクセスを承認し、その他の一般的な設定手順を実行するには:

gcloud init を実行します。
```
gcloud init
```
ウェブブラウザが自動的に開かないようにするには、代わりに次のコマンドを実行します。
```
gcloud init --console-only
```
リモートシステムで ssh を使用してコマンドを実行するときに、そのシステム上のブラウザにアクセスできない場合、--console-only フラグを使用すると便利です。この場合、指定された URL をローカルシステムのブラウザで開いて、承認プロセスを完了する必要があります。
ブラウザベースの承認フローに従ってアカウントを認証し、アクセス権限を付与します。

gcloud init の詳細については、gcloud CLI の初期化をご覧ください。

gcloud auth login を実行すると、ユーザーアカウントのみが承認されます。その他の設定手順を実行せずにアクセスを承認するには、次のいずれかのオプションを使用します。

ブラウザを備えたマシンで gcloud CLI を承認するには、次の手順に従います。
1. gcloud CLI を承認する
```
gcloud auth login
```
2. ブラウザベースの承認フローに従ってアカウントを認証し、アクセス権限を付与します。
ブラウザのないマシンで gcloud CLI を承認する場合、ブラウザを使用して別のマシンに gcloud CLI をインストールできます。--no-browser フラグを使用します。
1. gcloud CLI を承認する
```
gcloud auth login --no-browser
```
2. gcloud auth login --remote-bootstrap=" で始まる long コマンドをコピーします。
3. このコマンドは、ウェブブラウザと gcloud CLI ツールバージョン 372.0 以降をローカルにインストールしている別の信頼できるマシンのコマンドラインに貼り付けて実行します。
4. ウェブブラウザからマシンから長い URL 出力をコピーします。
5. 「上のコマンドの出力を入力」というプロンプトの下の最初のマシンに長い URL を貼り付け、Enter キーを押して承認を完了します。
ブラウザのないマシンで gcloud CLI を承認する場合:失敗ブラウザで別のマシンに gcloud CLI をインストールするには、--no-launch-browserフラグを使用します。--no-launch-browser フラグを指定すると、ウェブブラウザが自動的に開かなくなります。
1. gcloud CLI を承認する
```
gcloud auth login --no-launch-browser
```
2. https://accounts.google.com/o/oauth2/auth... で始まる長い URL をコピーします。
3. ウェブブラウザを持つ、信頼できる別のマシンのブラウザに、この URL を貼り付けます。
4. ウェブブラウザからマシンから認証コードをコピーします。
5. プロンプトの最初のマシンに認証コード「Enter verification code」を貼り付け、Enter キーを押して認証を完了します。
すでにアクセストークンを取得している場合は、次のいずれかの方法を使用してアクセストークンを gcloud CLI に渡します。
- アクセストークンをファイルに保存し、--access-token-file フラグを使用してパスを設定します。
- アクセストークンをファイルに保存し、そのパスを auth/access_token_file プロパティに設定します。
- 環境変数 CLOUDSDK_AUTH_ACCESS_TOKEN にアクセストークン値を設定します。

サービスアカウントを使用して承認する

gcloud auth login コマンドは、ローカルファイルシステムに保存されている認証情報ファイルを使用して、サービスアカウントによるアクセスを承認します。この認証情報は、Workload Identity 連携用の認証情報構成ファイルまたはサービスアカウントキーのいずれかです。

Workload Identity 連携を使用してサービスアカウントを承認する

Workload Identity 連携の外部認証情報を使用してサービスアカウントで gcloud CLI を承認するには、次の操作を行います。

Google Cloud コンソールで、[サービスアカウント] ページに移動します。

[サービスアカウント] に移動
既存のアカウントを選択するか、[サービスアカウントの作成] をクリックして新しいアカウントを作成します。
サポートされている ID プロバイダの指示に従って、Workload Identity 連携の認証情報構成ファイルを作成します。
サービスアカウントを有効にするには、--cred-file フラグを指定して gcloud auth login を実行します。
```
gcloud auth login --cred-file=CONFIGURATION_FILE
```
CONFIGURATION_FILE は、Workload Identity 連携の認証情報構成ファイルのパスに置き換えます。

サービスアカウントキーを使用してサービスアカウントを承認する

サービスアカウントキーを使用してサービスアカウントで gcloud CLI を承認するには、次の手順を行います。

Google Cloud コンソールで、[サービスアカウント] ページに移動します。

[サービスアカウント] に移動
既存のアカウントを選択するか、[サービスアカウントの作成] をクリックして新しいアカウントを作成します。
サービスアカウントキーを作成するには、IAM の手順を参照してサービスアカウントキーを作成してください。
サービスアカウントを有効にするには、--cred-file フラグを指定して gcloud auth login を実行します。
```
gcloud auth login --cred-file=KEY_FILE
```
KEY_FILE は、サービスアカウントキーファイルのパスで置き換えます。

アカウントの一覧表示

認証情報がローカルシステムに保存されているアカウントの一覧を表示するには、gcloud auth list を実行します。

gcloud auth list

gcloud CLI により、アカウントが一覧表示され、どのアカウントが有効かが示されます。

Credentialed accounts:
 - user-1@gmail.com (active)
 - user-2@gmail.com

有効なアカウントを切り替える

有効なアカウントを切り替えるには、gcloud config set を実行します。

gcloud config set account ACCOUNT

ここで、[ACCOUNT] はアカウントの完全なメールアドレスです。

アカウントを切り替えるには、別のアカウントを指定する構成を別途作成して、構成を切り替える方法もあります。

gcloud config configurations activate CONFIGURATION

gcloud CLI で使用するアカウントを、呼び出しのたびに切り替えるには、--account フラグを使用して、有効なアカウントをオーバーライドします。

承認済みセッションの長さを設定する

管理者は、各ユーザーが再認証を行わずに gcloud CLI にアクセスできる時間を管理できます。たとえば、昇格した権限を持つユーザーは、通常のユーザーよりも頻繁に再認証できます。

詳細については、Google サービスのセッション継続時間を設定するをご覧ください。

アカウントの認証情報を取り消す

特定のアカウントでの gcloud CLI からのアクセスを禁止したい場合、認証情報を取り消すことができます。アカウントを切り替えるために、認証情報を取り消す必要はありません。

認証情報を取り消すには、gcloud auth revoke を実行します。

gcloud auth revoke ACCOUNT

すべてのマシンに対し、gcloud CLI に対するすべてのアクセス権を取り消すには、アカウントにアクセスできるアプリケーションのリストから gcloud CLI を削除します。

認証情報ファイルを操作する

認証情報ファイルを見つける

認証情報ファイルの場所を確認するには、gcloud info を実行します。

gcloud info

gcloud CLI により、インストールに関する情報が表示されます。認証情報ファイルはユーザーの構成ディレクトリに保存されます。

User Config Directory: [/home/USERNAME/.config/gcloud]

アプリケーションのデフォルト認証情報を設定します。

gcloud CLI は、gcloud auth application-default コマンドグループを使用してアプリケーションのデフォルト認証情報（ADC）を管理するためのサポートを提供します。ユーザー認証情報を ADC で使用できるようにするには、gcloud auth application-default login を実行します。

gcloud auth application-default login

この認証情報は gcloud CLI では使用されません。詳細については、ADC の認証情報を指定する方法とアプリケーションのデフォルト認証情報の仕組みをご覧ください。

次のステップ

認証と Google Cloud の詳細については、認証の概要をご覧ください。
gcloud CLI のカスタマイズ方法については、gcloud CLI のプロパティをご覧ください。
gcloud CLI の名前付きプロパティセットを管理する方法については、gcloud CLI の構成をご覧ください。