Melakukan autentikasi ke Cloud Translation

Dokumen ini menjelaskan cara melakukan autentikasi ke Cloud Translation secara terprogram.

Untuk mengetahui informasi selengkapnya tentang autentikasi Google Cloud, silakan melihat ringkasan autentikasi.

Akses API

Cloud Translation mendukung akses terprogram. Cara Anda melakukan autentikasi ke Cloud Translation bergantung pada cara Anda mengakses API. Anda dapat mengakses API ini dengan cara berikut:

Library klien
REST

Library klien

Library klien Cloud Translation menyediakan dukungan bahasa tingkat tinggi untuk melakukan autentikasi ke Cloud Translation secara terprogram. Library klien mendukung Kredensial Default Aplikasi (ADC); library ini mencari kredensial dalam kumpulan lokasi yang ditentukan dan menggunakan kredensial tersebut untuk melakukan autentikasi permintaan ke API. Dengan ADC, Anda dapat menyediakan kredensial untuk aplikasi di berbagai lingkungan, seperti produksi atau pengembangan lokal, tanpa perlu mengubah kode aplikasi.

REST

Anda dapat melakukan autentikasi ke Cloud Translation API menggunakan kredensial gcloud CLI atau menggunakan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya tentang autentikasi permintaan REST, silakan melihat Melakukan autentikasi untuk menggunakan REST. Untuk mengetahui informasi tentang jenis kredensial, silakan melihat kredensial ADC dan gcloud CLI.

Kunci API

Kunci API menyediakan cara untuk mengaitkan panggilan API dengan project, yang digunakan untuk tujuan penagihan dan kuota, tanpa menentukan identitas pemanggil. Kunci API hanya dapat digunakan dengan metode API yang mendukung Kunci API.

Cloud Translation mendukung Kunci API untuk metode API berikut:

Semua metode untuk Cloud Translation - Basic API (v2) mendukung Kunci API, seperti translate dan detect. Cloud Translation - Advanced API (v3) tidak mendukung Kunci API.

Untuk informasi umum tentang penggunaan Kunci API, silakan melihat Melakukan autentikasi menggunakan Kunci API.

Kredensial pengguna dan ADC untuk Cloud Translation

Salah satu cara untuk memberikan kredensial ke ADC adalah menggunakan gcloud CLI untuk memasukkan kredensial pengguna Anda ke dalam file kredensial. File ini ditempatkan di sistem file lokal tempat ADC dapat menemukannya; ADC kemudian menggunakan kredensial pengguna yang disediakan untuk melakukan autentikasi permintaan. Metode ini sering digunakan untuk pengembangan lokal.

Jika menggunakan metode ini, Anda mungkin mengalami error autentikasi saat mencoba melakukan autentikasi ke Cloud Translation. Untuk mengetahui informasi selengkapnya tentang error ini dan cara mengatasinya, silakan melihat Kredensial pengguna tidak berfungsi.

Menyiapkan autentikasi untuk Cloud Translation

Cara Anda menyiapkan autentikasi bergantung pada lingkungan tempat kode Anda berjalan.

Opsi untuk menyiapkan autentikasi berikut adalah yang paling umum digunakan. Untuk opsi dan informasi lainnya tentang autentikasi, silakan melihat Autentikasi di Google.

Sebelum menyelesaikan petunjuk ini, Anda harus menyelesaikan penyiapan dasar untuk Cloud Translation, seperti yang dijelaskan dalam artikel Menyiapkan Cloud Translation.

Untuk lingkungan pengembangan lokal

Anda dapat menyiapkan kredensial untuk lingkungan pengembangan lokal dengan cara berikut:

Kredensial pengguna untuk library klien atau alat pihak ketiga
Kredensial pengguna untuk permintaan REST dari command line

Library klien atau alat pihak ketiga

Siapkan Kredensial Default Aplikasi (ADC) di lingkungan lokal Anda:

Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
```
gcloud init
```

Buat kredensial autentikasi lokal untuk Akun Google Anda:
```
gcloud auth application-default login
```
Catatan: Jika gcloud CLI menampilkan peringatan bahwa akun Anda tidak memiliki izin serviceusage.services.use, beberapa perintah gcloud CLI dan library klien mungkin tidak berfungsi. Minta administrator untuk memberi Anda peran IAM Consumer Service Usage (roles/serviceusage.serviceUsageConsumer), lalu jalankan perintah berikut:
```
gcloud auth application-default set-quota-project PROJECT_ID
```
Layar login akan ditampilkan. Setelah login, kredensial Anda disimpan dalam file kredensial lokal yang digunakan oleh ADC.

Untuk mengetahui informasi selengkapnya tentang cara bekerja dengan ADC di lingkungan lokal, silakan melihat Lingkungan pengembangan lokal.

Permintaan REST dari command line

Saat membuat permintaan REST dari command line, Anda dapat menggunakan kredensial gcloud CLI dengan menyertakan gcloud auth print-access-token sebagai bagian dari perintah yang mengirimkan permintaan.

Contoh berikut mencantumkan akun layanan untuk project yang ditentukan. Anda dapat menggunakan pola yang sama untuk setiap permintaan REST.

Sebelum menggunakan data permintaan apa pun, ganti nilai berikut ini:

PROJECT_ID: project ID Google Cloud Anda.

Untuk mengirim permintaan, luaskan salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts" | Select-Object -Expand Content

Untuk mengetahui informasi selengkapnya tentang autentikasi menggunakan REST dan gRPC, silakan melihat Melakukan autentikasi untuk menggunakan REST. Untuk mengetahui informasi tentang perbedaan antara kredensial ADC lokal dan kredensial gcloud CLI, silakan melihat kredensial ADC dan gcloud CLI.

Di Google Cloud.

Untuk mengautentikasi workload yang berjalan di Google Cloud, Anda menggunakan kredensial akun layanan yang dilampirkan ke resource komputasi tempat kode Anda dijalankan. Misalnya, Anda dapat memasang akun layanan ke instance virtual machine (VM) Compute Engine, layanan Cloud Run, atau tugas Dataflow. Pendekatan ini adalah metode autentikasi yang direkomendasikan untuk kode yang berjalan di resource komputasi Google Cloud.

Untuk sebagian besar layanan, Anda harus memasang akun layanan saat membuat resource yang akan menjalankan kode Anda; Anda tidak dapat menambahkan atau mengganti akun layanan nanti. Compute Engine merupakan pengecualian—Anda dapat memasang akun layanan ke instance VM kapan saja.

Gunakan gcloud CLI untuk membuat akun layanan dan memasangnya ke resource Anda:

Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
```
gcloud init
```
Menyiapkan autentikasi:
1. Buat akun layanan:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Ganti SERVICE_ACCOUNT_NAME dengan nama untuk akun layanan.
2. Untuk memberikan akses ke project dan resource Anda, berikan peran ke akun layanan:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  Ganti kode berikut:
  - SERVICE_ACCOUNT_NAME: nama dari akun layanan.
  - PROJECT_ID: project ID dimana Anda membuat akun layanan
  - ROLE: peran yang akan diberikan
  Catatan: Flag --role memengaruhi resource mana saja yang dapat diakses oleh akun layanan dalam proyek Anda. Anda dapat mencabut peran ini atau memberikan peran tambahan di lain waktu. Dalam lingkungan produksi, jangan berikan peran Owner, Editor, atau Viewer. Sebagai gantinya, berikan peran standar atau peran khusus yang memenuhi kebutuhan Anda.
3. Untuk memberikan peran lain ke akun layanan, jalankan perintah seperti yang Anda lakukan di langkah sebelumnya.
4. Memberi Akun Google Anda peran yang memungkinkan Anda menggunakan peran akun layanan dan tambahkan akun layanan tersebut ke resource lain:
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  Ganti kode berikut:
  - SERVICE_ACCOUNT_NAME: nama dari akun layanan.
  - PROJECT_ID: project ID dimana Anda membuat akun layanan
  - USER_EMAIL: alamat email untuk Akun Google Anda
Buat resource yang akan menjalankan kode Anda, lalu pasang akun layanan ke resource tersebut. Misalnya, jika Anda menggunakan Compute Engine:
Buat instance Compute Engine. Konfigurasikan instance sebagai berikut:
- Ganti INSTANCE_NAME dengan nama instance pilihan Anda.
- Tetapkan flag --zone ke zona tempat Anda ingin membuat instance.
- Tetapkan flag --service-account ke alamat email untuk akun layanan yang Anda buat.
```
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
```

Untuk mengetahui informasi selengkapnya tentang cara melakukan autentikasi ke Google API, silakan melihat Autentikasi di Google.

Lokal atau di penyedia cloud lain

Metode yang direkomendasikan untuk menyiapkan autentikasi dari luar Google Cloud adalah menggunakan workload identity federation. Untuk mengetahui informasi selengkapnya, silakan melihat Penyedia lokal atau penyedia cloud lainnya dalam dokumentasi autentikasi.

Kontrol akses di Cloud Translation

Setelah melakukan autentikasi ke Cloud Translation, Anda harus diberi otorisasi untuk mengakses resource Google Cloud. Cloud Translation menggunakan Identity and Access Management (IAM) untuk otorisasi.

Untuk mengetahui informasi selengkapnya tentang peran Cloud Translation, silakan melihat Kontrol akses dengan IAM. Untuk mengetahui informasi selengkapnya tentang IAM dan otorisasi, silakan melihat Ringkasan IAM.

Langkah berikutnya

Pelajari metode autentikasi Google Cloud.
Lihat daftar kasus penggunaan autentikasi.