Cloud SDK-Tools autorisieren

Für den Zugriff auf Google Cloud müssen Sie normalerweise Google Cloud SDK-Tools autorisieren. Auf dieser Seite werden die verfügbaren Autorisierungsoptionen erläutert und Sie erfahren, wie Sie die Konten verwalten, die Sie für die Autorisierung verwenden. Wenn Sie eine Google Compute Engine-Instanz oder Google Cloud Shell verwenden, müssen Sie SDK-Tools nicht autorisieren.

Kontotypen

Sie können Cloud SDK-Tools für den Zugriff auf Google Cloud über ein Nutzerkonto oder ein Dienstkonto autorisieren.

Ein Nutzerkonto ist ein Google-Konto, mit dem Sie sich direkt für Ihre Anwendung authentifizieren können. Für die häufigsten Anwendungsfälle, besonders die interaktive Verwendung von Cloud SDK-Tools über die Befehlszeile, sollte ein Nutzerkonto verwendet werden.

Ein Dienstkonto ist ein mit Ihrem Google Cloud-Projekt (und nicht mit einem bestimmten Nutzer) verknüpftes Google-Konto. Mithilfe eines Dienstkontos können Sie einen Dienstkontoschlüssel für Ihre Anwendung bereitstellen. Alternativ können Sie das in Google Cloud Functions, Google App Engine, Google Compute Engine oder Google Kubernetes Engine integrierte Dienstkonto verwenden. Zum Erstellen von Skripten für die Verwendung der Cloud SDK-Tools auf mehreren Geräten wird ein Dienstkonto empfohlen.

Autorisierungstyp auswählen

Sie müssen das gcloud-Befehlszeilentool und andere Tools im Cloud SDK autorisieren, bevor Sie sie zum Verwalten von Plattformressourcen verwenden können. Das Cloud SDK und Google Cloud verwenden OAuth2 zur Authentifizierung und Autorisierung.

Wählen Sie einen der folgenden Autorisierungstypen aus:

Typ Beschreibung
Nutzerkonto Empfohlen, wenn Sie Cloud SDK-Tools über die Befehlszeile verwenden oder Skripts für Cloud SDK-Tools erstellen, die auf einem einzigen Rechner verwendet werden.
Dienstkonto Empfohlen, wenn Sie das Cloud SDK im Rahmen einer Rechnerbereitstellung für die Produktion oder zur Verwendung auf VM-Instanzen von Google Compute Engine, auf denen alle Nutzer Zugriff auf root haben, installieren und einrichten.

Weitere Informationen zur Autorisierung und zu Google Cloud finden sich im Google Cloud-Authentifizierungsleitfaden.

Mit Nutzerkonto autorisieren

Sie können die folgenden gcloud-Tool-Befehle verwenden, um den Zugriff mit einem Nutzerkonto zu autorisieren:

Befehl Beschreibung
gcloud init Autorisiert den Zugriff und führt andere gängige Cloud SDK-Einrichtungsschritte aus.
gcloud auth login Autorisiert nur den Zugriff.

Diese Befehle rufen während der Autorisierung Anmeldedaten für das Konto aus der Google Cloud ab und speichern sie auf dem lokalen System. Das angegebene Konto wird dann zum aktiven Konto in Ihrer Cloud SDK-Konfiguration. Das gcloud-Tool und andere Cloud SDK-Tools verwenden die gespeicherten Anmeldedaten, um auf Google Cloud zuzugreifen. Sie können für eine einzelne Cloud SDK-Installation beliebig viele Konten mit gespeicherten Anmeldedaten verwalten. Es ist jedoch immer nur ein Konto aktiv.

"gcloud init" ausführen

gcloud init autorisiert den Zugriff und führt andere gängige Cloud SDK-Einrichtungsschritte aus. Die Autorisierung, bei der das Nutzerkonto authentifiziert und Zugriffsberechtigungen erteilt werden, erfolgt mit einem Webbrowser.

So führen Sie die Zugriffsautorisierung und andere gängige Cloud SDK-Einrichtungsschritte aus:

  1. Führen Sie gcloud init aus.

    gcloud init
    

    Wenn kein Webbrowser automatisch geöffnet werden soll, verwenden Sie folgenden Befehl:

    gcloud init --console-only
    

    Das Flag --console-only ist nützlich, wenn Sie den Befehl auf einem Remote-System über ssh ausführen und dort keinen Zugriff auf einen Browser haben. Sie müssen dann die bereitgestellte URL manuell in einem Browser auf Ihrem lokalen System öffnen, um die Autorisierung abzuschließen.

  2. Führen Sie die Schritte für die Autorisierung im Browser aus, um das Konto zu authentifizieren und Zugriffsberechtigungen zu erteilen.

Unter Cloud SDK initialisieren erfahren Sie mehr über diesen Befehl und die Cloud SDK-Initialisierung.

"gcloud auth login" ausführen

gcloud auth login autorisiert nur das Nutzerkonto.

So führen Sie die Zugriffsautorisierung ohne weitere Einrichtungsschritte aus:

  1. Führen Sie gcloud auth login aus.

    gcloud auth login
    

    oder:

    gcloud auth login --no-launch-browser
    

    Sie können das Flag --no-launch-browser verwenden, um zu verhindern, dass der Befehl automatisch einen Webbrowser öffnet. Sie müssen dann die bereitgestellte URL manuell in einem Browser auf Ihrem lokalen System öffnen, um die Autorisierung abzuschließen.

  2. Führen Sie die Schritte für die Autorisierung im Browser aus, um das Konto zu authentifizieren und Zugriffsberechtigungen zu erteilen.

Mit Dienstkonto autorisieren

gcloud auth activate-service-account autorisiert den Zugriff über ein Dienstkonto. Wie gcloud init und gcloud auth login speichert dieser Befehl die Anmeldedaten des Dienstkontos nach erfolgreicher Autorisierung auf dem lokalen System und legt das angegebene Konto als aktives Konto in der Cloud SDK-Konfiguration fest.

So führen Sie die Autorisierung über ein Dienstkonto aus:

  1. Rufen Sie in der Google Cloud Console die Seite "Dienstkonten" auf.

    Zur Seite „Dienstkonten“

  2. Wählen Sie ein vorhandenes Konto aus oder erstellen Sie ein neues. Klicken Sie dazu auf Dienstkonto erstellen.

  3. So erstellen Sie eine Schlüsseldatei im JSON-Format und laden sie herunter:

    1. Klicken Sie auf das Aktionsmenü Schaltfläche "Mehr" für das Dienstkonto und wählen Sie Schlüssel verwalten aus.
    2. Klicke auf das Drop-down-Menü Schlüssel hinzufügen.
    3. Klicken Sie auf Neuen Schlüssel erstellen.
    4. Wählen Sie ein Schlüsselformat aus und klicken Sie auf Erstellen.
  4. Verschieben Sie die Schlüsseldatei bei Bedarf in ein Verzeichnis auf dem System, auf dem Sie Cloud SDK-Tools autorisieren.

    Alternativ können Sie anstelle der Schritte 1 bis 4 mit gcloud iam service-accounts keys create einen Schlüssel für ein vorhandenes Dienstkonto abrufen.

  5. Führen Sie gcloud auth activate-service-account aus, um Ihr Dienstkonto zu aktivieren:

    gcloud auth activate-service-account [ACCOUNT] --key-file=[KEY_FILE]
    
  6. Löschen Sie die Schlüsseldatei vom System. Das gcloud-Tool speichert Schlüssel und die Kopie des gcloud-Tools des Schlüssels bleibt erhalten.

Konten auflisten

Mit gcloud auth list listen Sie die Konten auf, deren Anmeldedaten im lokalen System gespeichert sind:

gcloud auth list

Das gcloud-Tool listet die Konten auf und zeigt an, welches Konto aktiv ist:

Credentialed accounts:
 - user-1@gmail.com (active)
 - user-2@gmail.com

Aktives Konto wechseln

Führen Sie zum Wechseln des aktiven Kontos gcloud config set aus:

gcloud config set account [ACCOUNT]

[ACCOUNT] steht dabei für die vollständige E-Mail-Adresse des Kontos.

Sie können zum Wechseln des Kontos auch eine separate Konfiguration erstellen, in der das andere Konto angegeben ist, und dann zu dieser Konfiguration wechseln:

gcloud config configurations activate [CONFIGURATION]

Wenn Sie das vom gcloud-Tool verwendete Konto auf Aufrufbasis wechseln möchten, überschreiben Sie das aktive Konto mit dem Flag --account.

Länge der autorisierten Sitzung festlegen (nur Google Arbeitsbereich)

Als Administrator können Sie festlegen, wie lange verschiedene Nutzer auf das Cloud SDK zugreifen können, ohne sich neu authentifizieren zu müssen. Sie können diese Funktion beispielsweise verwenden, um zu erzwingen, dass Nutzer mit erhöhten Berechtigungen häufiger neu authentifiziert werden als normale Nutzer.

Weitere Informationen zum Aktivieren dieser Funktion finden Sie im Hilfeartikel Sitzungsdauer für Google Cloud Platform-Dienste festlegen.

Anmeldedaten für ein Konto widerrufen

Sie können Anmeldedaten widerrufen, wenn Sie den Zugriff des Tools gcloud und anderen Cloud SDK-Tools für ein bestimmtes Konto nicht zulassen möchten. Für den Wechsel zwischen Konten müssen die Anmeldedaten nicht widerrufen werden.

Führen Sie zum Widerrufen von Anmeldedaten gcloud auth revoke aus:

gcloud auth revoke [ACCOUNT]

Entfernen Sie das Cloud SDK aus der Liste der Anwendungen, die Zugriff auf Ihr Konto haben, um den gesamten Zugriff auf das Cloud SDK für alle Geräte zu widerrufen.

Nach Dateien mit Anmeldedaten suchen

Mit gcloud info können Sie suchen, in welchem Verzeichnis die Dateien mit den Anmeldedaten gespeichert sind:

gcloud info

Das gcloud-Tool gibt Informationen über Ihre Cloud SDK-Installation aus. Dateien mit Anmeldedaten werden im Nutzerkonfigurationsverzeichnis abgelegt:

User Config Directory: [/home/username/.config/gcloud]

Nächste Schritte