Cette page a été traduite par l'API Cloud Translation.

Autoriser gcloud CLI

Pour accéder à Google Cloud, vous devez généralement autoriser la Google Cloud CLI. Cette page présente les options d'autorisation disponibles et explique comment gérer les comptes utilisés pour l'autorisation. Si vous utilisez une instance Compute Engine ou Cloud Shell, vous n'avez pas besoin d'autoriser gcloud CLI.

Types de comptes

Pour autoriser gcloud CLI à accéder à Google Cloud, vous pouvez utiliser un compte utilisateur ou un compte de service.

Un compte utilisateur est un compte Google Cloud qui permet aux utilisateurs finaux de s'authentifier auprès de votre application. Dans la plupart des cas d'utilisation courants, en particulier lors de l'utilisation interactive de la gcloud CLI, le recours à un compte utilisateur fait partie des bonnes pratiques.

Un compte de service est un compte Google Cloud associé à votre projet Google Cloud plutôt qu'à un utilisateur spécifique. Vous pouvez utiliser le compte de service intégré disponible lorsque vous utilisez des fonctions Cloud Run, App Engine, Compute Engine ou Google Kubernetes Engine. Un compte de service est recommandé pour exécuter des scripts gcloud CLI sur plusieurs machines.

Choisir un type d'autorisation

Vous devez autoriser Google Cloud CLI à gérer les ressources Google Cloud. La Google Cloud CLI et Google Cloud utilisent OAuth2 pour l'authentification et l'autorisation.

Choisissez l'un des types d'autorisation suivants :

Type	Description
Compte utilisateur	Recommandé si vous utilisez gcloud CLI à partir de la ligne de commande ou si vous écrivez des scripts avec gcloud CLI pour une utilisation sur une seule machine.
Compte de service	Recommandé si vous installez et configurez gcloud CLI dans le cadre d'un processus de déploiement de machine en production, ou pour utilisation sur des instances de machine virtuelle Compute Engine où tous les utilisateurs ont accès à `root`.

Pour en savoir plus sur l'authentification dans Google Cloud, consultez la page Présentation de l'authentification.

Autoriser avec un compte utilisateur

Cette section explique comment autoriser l'accès à l'aide d'un compte utilisateur.

S'authentifier avec un compte Google

Utilisez les commandes de gcloud CLI suivantes pour autoriser l'accès avec un compte utilisateur:

Commande	Description
`gcloud init`	Autorise l'accès et exécute d'autres étapes courantes de configuration.
`gcloud auth login`	Autorise l'accès uniquement.

Pendant la procédure d'autorisation, ces commandes obtiennent les identifiants du compte auprès de Google Cloud et les stockent sur le système local. Le compte spécifié devient alors le compte actif dans votre configuration. La gcloud CLI utilise les identifiants stockés pour accéder à Google Cloud. Vous pouvez disposer d'un nombre illimité de comptes avec des identifiants stockés pour une même installation de gcloud CLI, mais un seul compte est actif à la fois.

Run gcloud init (Exécuter gcloud init)

gcloud init autorise l'accès et exécute d'autres étapes courantes de configuration. gcloud init s'appuie sur un flux d'autorisation Web pour authentifier le compte utilisateur et accorder les autorisations d'accès.

Pour autoriser l'accès et exécuter d'autres étapes courantes de configuration:

Exécutez gcloud init :
```
gcloud init
```
Ou, pour empêcher la commande d'ouvrir automatiquement un navigateur Web :
```
gcloud init --console-only
```
Le paramètre --console-only est utile si vous exécutez la commande sur un système distant via ssh et si vous n'avez pas accès à un navigateur sur ce système. Vous devez ensuite ouvrir manuellement l'URL fournie dans un navigateur sur votre système local pour terminer le processus d'autorisation.
Suivez le flux d'autorisation basé sur le navigateur pour authentifier le compte et accorder les autorisations d'accès.

Pour en savoir plus sur gcloud init, consultez la page Initialiser gcloud CLI.

L'exécution de gcloud auth login n'autorise que le compte utilisateur. Pour autoriser l'accès sans effectuer d'autres étapes de configuration, utilisez l'une des options suivantes.

Si vous souhaitez autoriser la gcloud CLI sur une machine avec un navigateur, procédez comme suit.
1. Autorisez la gcloud CLI:
```
gcloud auth login
```
2. Suivez le flux d'autorisation basé sur le navigateur pour authentifier le compte et accorder les autorisations d'accès.
Si vous souhaitez autoriser gcloud CLI sur une machine qui ne dispose pas de navigateur et que vous pouvez installer gcloud CLI sur une autre machine avec un navigateur, utilisez l'indicateur --no-browser.
1. Autorisez la gcloud CLI:
```
gcloud auth login --no-browser
```
2. Copiez la longue commande commençant par gcloud auth login --remote-bootstrap=".
3. Collez et exécutez cette commande sur la ligne de commande d'une autre machine fiable sur laquelle un navigateur Web et l'outil de ligne de commande gcloud CLI version 372.0 ou ultérieure sont installés localement.
4. Copiez la longue URL générée par la machine à l'aide du navigateur Web.
5. Collez l'URL longue sur la première machine sous l'invite "Saisissez la sortie de la commande ci-dessus", puis appuyez sur Entrée pour finaliser l'autorisation.
Si vous souhaitez autoriser la gcloud CLI sur une machine qui ne dispose pas de navigateur et que vous ne pouvez pas installer la gcloud CLI sur une autre machine avec un navigateur, utilisez l'indicateur --no-launch-browser. L'option --no-launch-browser empêche la commande d'ouvrir automatiquement un navigateur Web.
1. Autorisez la gcloud CLI:
```
gcloud auth login --no-launch-browser
```
2. Copiez l'URL longue commençant par https://accounts.google.com/o/oauth2/auth....
3. Collez cette URL dans le navigateur d'une autre machine fiable disposant d'un navigateur Web.
4. Copiez le code d'autorisation de la machine à l'aide du navigateur Web.
5. Collez le code d'autorisation sur la première machine à l'invite "Enter verification code" (Saisissez le code de validation), puis appuyez sur Entrée pour finaliser l'autorisation.
Si vous disposez déjà d'un jeton d'accès, utilisez l'une des méthodes suivantes pour le transmettre à la gcloud CLI:
- Stockez le jeton d'accès dans un fichier et définissez son chemin d'accès à l'aide de l'option --access-token-file.
- Stockez le jeton d'accès dans un fichier et définissez son chemin d'accès dans la propriété auth/access_token_file.
- Définissez la variable d'environnement CLOUDSDK_AUTH_ACCESS_TOKEN sur la valeur du jeton d'accès.

Authentifier les utilisateurs avec la fédération d'identité de personnel

Cette section explique comment se connecter à la gcloud CLI à l'aide de la fédération des identités des employés.

Connexion à gcloud CLI depuis un navigateur

Pour vous connecter à la gcloud CLI à l'aide d'un flux de connexion basé sur un navigateur, procédez comme suit:

Créez un fichier de configuration de connexion.

Pour créer le fichier de configuration de connexion, exécutez la commande suivante. Vous pouvez éventuellement définir par défaut l'activation du fichier pour gcloud CLI à l'aide de l'option --activate.
```
gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE
```
Remplacez les éléments suivants :
- WORKFORCE_POOL_ID : ID du pool d'identités de personnel
- PROVIDER_ID: ID du fournisseur de pools d'identités des employés
- LOGIN_CONFIG_FILE: chemin d'accès au fichier de configuration de connexion que vous spécifiez, par exemple login.json
Le fichier contient les points de terminaison utilisés par gcloud CLI pour activer le flux d'authentification via le navigateur et définir l'audience sur le fournisseur d'identité configuré dans le fournisseur de pool d'identités de personnel. Votre fichier ne contient aucune information confidentielle.

La sortie ressemble à ceci :
```
{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect",
}
```
Attention : Nous vous recommandons de vous assurer préalablement que le contenu de ce fichier est correct, puis de le protéger. Par exemple, vous pouvez le rendre accessible en lecture seulement et restreindre l'accès à l'aide d'une LCA. Le fichier n'est pas validé. Un individu malveillant disposant d'un accès en écriture à ce fichier peut modifier les points de terminaison et intercepter les identifiants.
Se connecter à l'aide d'une authentification basée sur le navigateur

Pour vous authentifier à l'aide de l'authentification de connexion basée sur le navigateur, vous pouvez utiliser l'une des méthodes suivantes :
- Si vous avez utilisé l'option --activate lors de la création du fichier de configuration ou si vous avez activé le fichier de configuration avec la commande gcloud config set auth/login_config_file, gcloud CLI va utiliser automatiquement votre fichier de configuration :
```
gcloud auth login
```
- Pour vous connecter en spécifiant l'emplacement du fichier de configuration, exécutez la commande suivante :
```
gcloud auth login --login-config=LOGIN_CONFIG_FILE
```
- Pour utiliser une variable d'environnement afin de spécifier l'emplacement du fichier de configuration, définissez CLOUDSDK_AUTH_LOGIN_CONFIG_FILE sur le chemin d'accès de la configuration.

Pour arrêter d'utiliser le fichier de configuration de connexion, procédez comme suit :

Si vous avez utilisé l'option --activate lors de la création du fichier de configuration ou si vous avez activé le fichier de configuration avec la commande gcloud config set auth/login_config_file, vous devez exécuter la commande suivante pour le désactiver :
```
gcloud config unset auth/login_config_file
```
Si elle est définie, effacez la variable d'environnement CLOUDSDK_AUTH_LOGIN_CONFIG_FILE.

Connexion à gcloud CLI sans interface graphique

Pour vous connecter à gcloud CLI à l'aide d'une procédure sans interface graphique, procédez comme suit :

OIDC

Connectez un utilisateur à votre application IdP et obtenez le jeton OIDC.

Pour savoir comment obtenir le jeton, consultez la documentation OIDC de votre IdP.
Enregistrez le jeton OIDC renvoyé par l'IDP dans un emplacement sécurisé sur votre ordinateur local.

Générez un fichier de configuration en exécutant la commande suivante:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --subject-token-type="urn:ietf:params:oauth:token-type:id_token" \
    --credential-source-file="PATH_TO_OIDC_ID_TOKEN" \
    --workforce-pool-user-project="WORKFORCE_POOL_USER_PROJECT" \
    --output-file="config.json"

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID du pool de personnel
PROVIDER_ID : ID du fournisseur
PATH_TO_OIDC_TOKEN : chemin d'accès au fichier d'identifiants du fournisseur d'identité OIDC
WORKFORCE_POOL_USER_PROJECT : numéro de projet associé au projet utilisateur des pools de personnel

Le compte principal doit disposer de l'autorisation serviceusage.services.use sur ce projet.

Lorsque vous exécutez la commande, vous obtenez un fichier de configuration IdP OIDC semblable à celui-ci:

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS_FILE"
  }
}

SAML

Connectez un utilisateur à votre application de fournisseur d'identité et obtenez l'assertion SAML.

Pour savoir comment obtenir l'assertion SAML auprès de votre fournisseur d'identité, consultez la documentation SAML de votre fournisseur d'identité.
Enregistrez la réponse SAML renvoyée par l'IDP dans un emplacement sécurisé sur votre ordinateur local, puis stockez le chemin d'accès comme suit:
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Pour générer un fichier de configuration, exécutez la commande suivante :

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type="urn:ietf:params:oauth:token-type:saml2" \
    --credential-source-file="SAML_ASSERTION_PATH"  \
    --workforce-pool-user-project="PROJECT_ID"  \
    --output-file="config.json"

Remplacez les éléments suivants :

WORKFORCE_PROVIDER_ID: ID du fournisseur de personnel que vous avez créé précédemment dans ce guide.
WORKFORCE_POOL_ID : ID de pool de personnel que vous avez créé précédemment dans ce guide.
SAML_ASSERTION_PATH : chemin d'accès du fichier d'assertion SAML.
PROJECT_ID : ID du projet

Le fichier de configuration généré se présente comme suit :

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
  "token_url": "https://sts.googleapis.com/v1/token",
  "credential_source": {
    "file": "SAML_ASSERTION_PATH"
  },
  "workforce_pool_user_project": "PROJECT_ID"
}

Pour vous connecter à gcloud en utilisant l'échange de jetons, exécutez la commande suivante:

gcloud auth login --cred-file="config.json"

gcloud échange ensuite de manière transparente vos identifiants d'IDP contre des jetons d'accès Google Cloud temporaires, ce qui vous permet d'effectuer d'autres appels gcloud vers Google Cloud.

Le résultat ressemble à ce qui suit :

Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

Pour répertorier les comptes avec identifiants et votre compte actuellement actif, exécutez la commande suivante:

gcloud auth list

Autoriser avec un compte de service

La commande gcloud auth login peut autoriser l'accès avec un compte de service à l'aide d'un fichier d'identifiants stocké sur votre système de fichiers local. Ces identifiants peuvent être des identifiants utilisateur autorisés à usurper l'identité du compte de service, un fichier de configuration des identifiants pour la fédération d'identité de charge de travail ou une clé de compte de service.

Autoriser un compte de service à utiliser l'emprunt d'identité de compte de service

Pour autoriser la gcloud CLI à utiliser des identifiants de compte de service usurpés, procédez comme suit:

Dans la console Google Cloud, accédez à la page "Comptes de service".

Accéder à la page "Comptes de service"
Sélectionnez un compte existant ou créez un compte en cliquant sur Créer un compte de service.
Pour vous assurer que le compte principal dispose des autorisations nécessaires pour emprunter l'identité d'un compte de service, demandez à votre administrateur d'accorder au compte principal le rôle IAM Créateur de jetons du compte de service (roles/iam.serviceAccountTokenCreator) sur le compte de service. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient l'autorisation iam.serviceAccounts.getAccessToken, qui est requise pour emprunter l'identité d'un compte de service.
Votre administrateur peut également attribuer au compte principal cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Autorisez la gcloud CLI avec votre identité utilisateur en exécutant gcloud auth login.
Pour configurer gcloud CLI afin d'utiliser l'identité et l'accès fournis par un compte de service par défaut, utilisez la commande gcloud CLI config:
```
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
```
Pour arrêter d'utiliser les identifiants de compte de service usurpés avec gcloud CLI par défaut, rétablissez l'indicateur à l'aide de la commande gcloud CLI config:
```
gcloud config unset auth/impersonate_service_account
```

Autoriser un compte de service à l'aide de la fédération d'identité de charge de travail

Pour autoriser la gcloud CLI avec un compte de service à l'aide d'identifiants externes de la fédération d'identité de charge de travail, procédez comme suit:

Dans la console Google Cloud, accédez à la page "Comptes de service".

Accéder à la page "Comptes de service"
Sélectionnez un compte existant ou créez un compte en cliquant sur Créer un compte de service.
Créez un fichier de configuration des identifiants pour la fédération d'identité de charge de travail en suivant les instructions de votre fournisseur d'identité compatible.
Pour activer votre compte de service, exécutez gcloud auth login avec l'option --cred-file:
```
gcloud auth login --cred-file=CONFIGURATION_FILE
```
Remplacez CONFIGURATION_FILE par le chemin d'accès à un fichier de configuration des identifiants pour la fédération d'identité de charge de travail.

Autoriser un compte de service à l'aide d'une clé de compte de service

Pour autoriser gcloud CLI avec un compte de service à l'aide d'une clé de compte de service, procédez comme suit:

Dans la console Google Cloud, accédez à la page "Comptes de service".

Accéder à la page "Comptes de service"
Sélectionnez un compte existant ou créez un compte en cliquant sur Créer un compte de service.
Pour créer des clés de compte de service, consultez les instructions IAM pour créer une clé de compte de service.
Pour activer votre compte de service, exécutez gcloud auth login avec l'option --cred-file:
```
gcloud auth login --cred-file=KEY_FILE
```
Remplacez KEY_FILE par le chemin d'accès à un fichier de clé de compte de service.

Répertorier les comptes

Pour répertorier les comptes dont les identifiants sont stockés sur le système local, exécutez gcloud auth list :

gcloud auth list

Gcloud CLI répertorie les comptes et indique celui qui est actif:

Credentialed accounts:
 - user-1@gmail.com (active)
 - user-2@gmail.com

Changer de compte actif

Pour changer de compte actif, exécutez gcloud config set :

gcloud config set account ACCOUNT

où [ACCOUNT] est l'adresse e-mail complète du compte.

Vous pouvez également changer de compte en créant une configuration distincte spécifiant le nouveau compte et en basculant entre les configurations :

gcloud config configurations activate CONFIGURATION

Si vous voulez changer le compte utilisé par gcloud CLI au niveau d'un appel individuel, remplacez le compte actif à l'aide du paramètre --account.

Définir la durée de session autorisée

En tant qu'administrateur, vous pouvez contrôler la durée pendant laquelle différents utilisateurs peuvent accéder à gcloud CLI sans avoir à s'authentifier à nouveau. Par exemple, vous pouvez forcer les utilisateurs disposant de privilèges élevés à se réauthentifier plus fréquemment que les utilisateurs standards.

Pour en savoir plus, consultez Définir la durée de session pour les services Google Cloud.

Révoquer des identifiants pour un compte

Vous pouvez révoquer les identifiants d'un compte particulier si vous souhaitez lui interdire l'accès à gcloud CLI. Vous n'avez pas besoin de révoquer les identifiants pour basculer entre les comptes.

Pour révoquer des identifiants, exécutez la commande gcloud auth revoke suivante :

gcloud auth revoke ACCOUNT

Pour révoquer tous les accès de gcloud CLI pour toutes les machines, supprimez gcloud CLI de la liste des applications ayant accès à votre compte.

Utiliser des fichiers d'identifiants

Trouver vos fichiers d'identifiants

Pour trouver l'emplacement de vos fichiers d'identifiants, exécutez la commande gcloud info :

gcloud info

Gcloud CLI affiche les informations sur votre installation. Les fichiers d'identifiants sont stockés dans le répertoire de configuration de l'utilisateur :

User Config Directory: [/home/USERNAME/.config/gcloud]

Configurer les identifiants par défaut de l'application

Gcloud CLI permet de gérer les identifiants par défaut de l'application (ADC) avec le groupe de commandes gcloud auth application-default. Pour mettre les identifiants utilisateur à la disposition d'ADC, exécutez gcloud auth application-default login:

gcloud auth application-default login

Ces identifiants ne sont pas utilisés par gcloud CLI. Pour découvrir d'autres façons de configurer ADC, consultez la page Configurer les identifiants par défaut de l'application.

unset GOOGLE_APPLICATION_CREDENTIALS
gcloud config unset auth/impersonate_service_account
gcloud auth application-default login

Étape suivante

Pour en savoir plus sur l'authentification dans Google Cloud, consultez la page Présentation de l'authentification.
Pour en savoir plus sur la personnalisation de la gcloud CLI, consultez la section Propriétés de la gcloud CLI.
Pour en savoir plus sur la gestion d'ensembles nommés de propriétés de la gcloud CLI, consultez la section Configurations de la gcloud CLI.