En este documento, se describe cómo autenticar y configurar el acceso a la API dentro de una estación de trabajo. Para obtener información general sobre la autenticación de Google Cloud, consulta la descripción general de la autenticación.
Autentícate como usuario con Google Cloud CLI
Después de iniciar Cloud Workstations, puedes acceder a los servicios de Google Cloud y a la API con
tus cuentas de usuario a través de la CLI de gcloud
.
- Abre una terminal en tu estación de trabajo. La forma en que abres una ventana de terminal depende del IDE que usas. Por ejemplo, si usas el editor base de Cloud Workstations, abre una terminal seleccionando Terminal > Terminal nueva o presionando Control + Mayús +`.
- Autentica con el siguiente comando:
gcloud auth login --no-launch-browser
- Sigue las instrucciones que proporciona el comando para autenticarte en Google Cloud.
- Especifica tu ID del proyecto de Google Cloud con el siguiente comando:
gcloud config set project PROJECT_ID
-
Habilita las credenciales predeterminadas de la aplicación para poder llamar a los servicios de Google Cloud.
gcloud auth application-default login
- Tus credenciales de la CLI de
gcloud
ahora están guardadas y disponibles cuando uses la estación de trabajo en sesiones futuras.
Envía una solicitud HTTP a una estación de trabajo
Si deseas emitir una solicitud HTTP a una estación de trabajo, necesitas un token de acceso para una cuenta que tenga la función Usuario de Cloud Workstations en esa estación de trabajo:
- Genera un token de acceso con el método generateAccessToken de la API.
- Agrega un encabezado HTTP llamado
Authorization
con el valorBearer $TOKEN
.
Conéctate a la estación de trabajo en tu navegador
La apertura de la URL de la estación de trabajo en tu navegador se autentica automáticamente a través de un redireccionamiento al servidor de las estaciones de trabajo y recupera un token de acceso que genera el método de la API generateAccessToken. Esto redirecciona a tu estación de trabajo y establece una cookie de autenticación válida para la sesión de la estación de trabajo actual.
Para omitir este redireccionamiento, usa el parámetro de URL _workstationAccessToken
:
- Genera un token de acceso con el método de API generateAccessToken.
- Abre la URL de tu estación de trabajo en el navegador y agrega un parámetro de URL con el siguiente formato:
_workstationAccessToken=TOKEN
.
Esto configura una cookie de autenticación en tu navegador que permite el acceso a la sesión de tu estación de trabajo actual. Omitir el redireccionamiento puede ser útil cuando las políticas de red bloquean el acceso al servidor de la estación de trabajo o cuando se usan iframes para mostrar la estación de trabajo en otros sitios.
Usar la identidad de una cuenta de servicio
Si las políticas de seguridad de tu organización impiden que las cuentas de usuario tengan los permisos
necesarios, también puedes usar la propiedad gcloud
impersonate_service_account
de la CLI.
-
Para garantizar que la cuenta principal tenga el permiso necesario para usar la identidad de otra cuenta de servicio, pídele a tu administrador que le otorgue a la cuenta principal el rol de IAM Creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator
) en la cuenta de servicio. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.Este rol predefinido contiene el permiso
iam.serviceAccounts.getAccessToken
, que se requiere para usar la identidad de otra cuenta de servicio.Es posible que tu administrador también pueda otorgar este permiso a la cuenta principal con roles personalizados o con otros roles predefinidos.
- Abre una terminal en tu estación de trabajo o navega a una que ya esté abierta.
- Para configurar la propiedad
impersonate_service_account
, ingresa el siguiente comando de la CLI degcloud
:gcloud config set auth/impersonate_service_account=SERVICE_ACCT_EMAIL
- Tus credenciales de la CLI de
gcloud
ahora están guardadas y disponibles cuando uses la estación de trabajo en sesiones futuras.
Para obtener más información, consulta Usa la suplantación de cuentas de servicio.
¿Qué sigue?
- Obtén más información sobre la compatibilidad con SSH.
- Consulta una lista de parámetros de configuración de estaciones de trabajo.
- Control de acceso con Identity and Access Management y Cloud Workstations