Por lo general, para acceder a Google Cloud, deberás autorizar a Google Cloud CLI. En esta página, se muestran las opciones de autorización disponibles y se muestra cómo administrar las cuentas que usas para la autorización. Si usas una instancia de Compute Engine o Cloud Shell, no es necesario que autorices gcloud CLI.
Tipos de cuenta
A fin de otorgar autorización a gcloud CLI para acceder a Google Cloud, puedes usar una cuenta de usuario o una cuenta de servicio.
Una cuenta de usuario es una cuenta de Google Cloud que permite a los usuarios finales autenticarse en tu aplicación. Para la mayoría de los casos de uso comunes, especialmente de forma interactiva con gcloud CLI, se recomienda usar una cuenta de usuario.
Una cuenta de servicio es una cuenta de Google Cloud asociada a tu proyecto de Google Cloud y no a un usuario específico. Puedes usar la cuenta de servicio integrada disponible cuando usas Cloud Functions, App Engine, Compute Engine o Google Kubernetes Engine. Se recomienda una cuenta de servicio para ejecutar secuencias de comandos de gcloud CLI en varias máquinas.
Elegir un tipo de autorización
Debes autorizar a Google Cloud CLI para que administre los recursos de Google Cloud. Tanto Google Cloud CLI como Google Cloud usan OAuth2 para la autenticación y autorización.
Elige uno de los siguientes tipos de autorización:
| Tipo | Descripción |
|---|---|
| Cuenta de usuario | Se recomienda si usas gcloud CLI desde la línea de comandos o si escribes secuencias de comandos con gcloud CLI para usarlas en una sola máquina. |
| Cuenta de servicio | Recomendada si estás instalando y configurando gcloud CLI
como parte de un proceso de implementación de una máquina en producción, o para su uso en
instancias de máquina virtual de Compute Engine en las que todos los usuarios tienen acceso
a root. |
Para obtener más información sobre la autenticación y Google Cloud, consulta Descripción general de la autenticación.
Autorizar con una cuenta de usuario
Usa los siguientes comandos de gcloud CLI para autorizar el acceso con una cuenta de usuario:
| Comando | Descripción |
|---|---|
gcloud init
|
Autoriza el acceso y realiza otros pasos comunes de configuración. |
gcloud auth login
|
Autoriza solo el acceso. |
Durante la autorización, estos comandos obtienen credenciales de cuenta de Google Cloud y las almacenan en el sistema local. La cuenta especificada se convierte en la cuenta activa en tu configuración. Gcloud CLI usa las credenciales almacenadas para acceder a Google Cloud. Puedes tener cualquier cantidad de cuentas con credenciales almacenadas para una sola instalación de gcloud CLI, pero solo una cuenta está activa a la vez.
Ejecuta gcloud init
gcloud init autoriza el acceso y realiza otros pasos comunes de configuración. gcloud init usa un flujo de autorización basado en la Web para autenticar la cuenta de usuario y otorgar permisos de acceso.
Para autorizar el acceso y realizar otros pasos comunes de configuración, haz lo siguiente:
Ejecuta
gcloud init:gcloud initO, para evitar que el comando abra automáticamente un navegador web, el siguiente:
gcloud init --console-onlyUsar la marca
--console-onlyes útil si ejecutas el comando desde un sistema remoto mediantesshy no tienes acceso a un navegador en ese sistema. Debes, entonces, abrir manualmente la URL proporcionada en un navegador en tu sistema local para completar el proceso de autorización.Sigue el flujo de autorización basado en el navegador para autenticar la cuenta y otorgar permisos de acceso.
Para obtener más información sobre gcloud init, consulta
Inicializa la CLI de gcloud.
Ejecuta el acceso de autenticación de gcloud
Ejecutar gcloud auth login solo autoriza la cuenta de usuario.
Para autorizar el acceso sin realizar otros pasos de configuración, usa una de las siguientes opciones.
Si deseas autorizar gcloud CLI en una máquina con un navegador, sigue estos pasos.
Autoriza gcloud CLI:
gcloud auth loginSigue el flujo de autorización basado en el navegador para autenticar la cuenta y otorgar permisos de acceso.
Si deseas autorizar gcloud CLI en una máquina que no tiene un navegador y puedes instalar gcloud CLI en otra máquina con un navegador, usa la marca
--no-browser.Autoriza gcloud CLI:
gcloud auth login --no-browserCopia el comando largo que comienza con
gcloud auth login --remote-bootstrap=".Pega y ejecuta este comando en la línea de comandos de otra máquina de confianza que tenga instalaciones locales de un navegador web y de la herramienta de gcloud CLI 372.0 o una versión posterior.
Copia el resultado de la URL larga de la máquina con el navegador web.
Pega la URL larga en la primera máquina debajo de la indicación "Enter the output of the above command" y presiona Intro para completar la autorización.
Si deseas autorizar gcloud CLI en una máquina que no tiene un navegador y no puedes instalar gcloud CLI en otra máquina con un navegador, usa la marca
--no-launch-browser. La marca--no-launch-browserevita que el comando abra automáticamente un navegador web.Autoriza gcloud CLI:
gcloud auth login --no-launch-browserCopia la URL larga que comienza con
https://accounts.google.com/o/oauth2/auth....Pega esta URL en el navegador de otra máquina de confianza que tenga un navegador web.
Copia el código de autorización de la máquina con el navegador web.
Pega el código de autorización en la primera máquina que aparece en el mensaje “Ingresar código de verificación” y presiona Intro para completar la autorización.
Si ya tienes un token de acceso, usa uno de los siguientes métodos para pasarlo a gcloud CLI:
- Almacena el token de acceso en un archivo y configura su ruta con la marca --access-token-file.
- Almacena el token de acceso en un archivo y establece su ruta en la propiedad auth/access_token_file.
- Establece la variable de entorno
CLOUDSDK_AUTH_ACCESS_TOKENen el valor del token de acceso.
Autorizar con una cuenta de servicio
El comando gcloud auth login puede autorizar el acceso con una cuenta de servicio mediante un archivo de credenciales almacenado en tu sistema de archivos local. Esta credencial puede ser un archivo de configuración de credenciales para la federación de Workload Identity o una clave de cuenta de servicio.
Autoriza una cuenta de servicio con la federación de Workload Identity
Para autorizar gcloud CLI con una cuenta de servicio mediante credenciales externas de la federación de Workload Identity, haz lo siguiente:
En la consola de Google Cloud, ve a la página Cuentas de servicio.
Elige una cuenta existente o crea una nueva con un clic en Crear cuenta de servicio.
Crea un archivo de configuración de credenciales para la federación de Workload Identity mediante las instrucciones para tu proveedor de identidad compatible.
Para activar tu cuenta de servicio, ejecuta
gcloud auth logincon la marca--cred-file:gcloud auth login --cred-file=CONFIGURATION_FILEReemplaza CONFIGURATION_FILE por la ruta de acceso a un archivo de configuración de credenciales para la federación de Workload Identity.
Autoriza una cuenta de servicio con una clave de cuenta de servicio
Para autorizar gcloud CLI con una cuenta de servicio mediante una clave de cuenta de servicio, haz lo siguiente:
En la consola de Google Cloud, ve a la página Cuentas de servicio.
Elige una cuenta existente o crea una nueva con un clic en Crear cuenta de servicio.
A fin de crear claves de cuenta de servicio, consulta las instrucciones de IAM para crear una clave de cuenta de servicio.
Para activar tu cuenta de servicio, ejecuta
gcloud auth logincon la marca--cred-file:gcloud auth login --cred-file=KEY_FILEReemplaza KEY_FILE por la ruta de acceso al archivo de claves de una cuenta de servicio.
Mostrar cuentas
Para mostrar una lista de las cuentas cuyas credenciales están almacenadas en el sistema local, ejecuta gcloud auth list:
gcloud auth list
Gcloud CLI muestra las cuentas y muestra qué cuenta está activa:
Credentialed accounts: - user-1@gmail.com (active) - user-2@gmail.com
Cambiar la cuenta activa
Para cambiar la cuenta activa, ejecuta gcloud config set:
gcloud config set account ACCOUNT
En el comando anterior, [ACCOUNT] es la dirección de correo electrónico completa de la cuenta.
También puedes cambiar de cuenta creando una configuración distinta que especifique la cuenta diferente y alternando entre configuraciones:
gcloud config configurations activate CONFIGURATION
Si deseas cambiar la cuenta que usa gcloud CLI por
invocación, anula la cuenta activa con la
marca --account.
Establecer la duración de la sesión autorizada
Como administrador, puedes controlar por cuánto tiempo los diferentes usuarios pueden acceder a la gcloud CLI sin tener que volver a autenticarse. Por ejemplo, puedes forzar a los usuarios con privilegios elevados a volver a autenticarse con más frecuencia que los usuarios normales.
Si deseas obtener más información, consulta Establece la duración de la sesión para los servicios de Google Cloud.
Cómo revocar credenciales para una cuenta
Puedes revocar credenciales cuando desees impedir que una cuenta en particular acceda a gcloud CLI. No es necesario que revoques las credenciales para alternar entre cuentas.
Para revocar credenciales, ejecuta: gcloud auth revoke:
gcloud auth revoke ACCOUNT
Para revocar todo el acceso a gcloud CLI en todas las máquinas, quita gcloud CLI de la lista de apps que tienen acceso a tu cuenta.
Cómo trabajar con archivos de credenciales
Busca tus archivos de credenciales
Para encontrar la ubicación de tus archivos de credenciales, ejecuta gcloud info:
gcloud info
Gcloud CLI imprime información sobre tu instalación. Los archivos de credenciales se almacenan en el directorio de configuración del usuario:
User Config Directory: [/home/USERNAME/.config/gcloud]
Configura credenciales predeterminadas de la aplicación
Gcloud CLI proporciona compatibilidad para administrar las credenciales predeterminadas de la aplicación (ADC) con el grupo de comandos gcloud auth application-default. A fin de que las credenciales de usuario estén disponibles para ADC, ejecuta gcloud auth application-default login:
gcloud auth application-default login
Gcloud CLI no usa estas credenciales. Si deseas obtener más información, consulta Cómo proporcionar credenciales para ADC y Cómo funcionan las credenciales predeterminadas de la aplicación.
¿Qué sigue?
- Para obtener más información sobre la autenticación y Google Cloud, consulta Descripción general de la autenticación.
- Para obtener más información sobre la personalización de gcloud CLI, consulta Propiedades de la CLI de gcloud.
- Para obtener más información sobre cómo administrar conjuntos con nombre de las propiedades de gcloud CLI, consulta Configuraciones de la CLI de gcloud.