Mengautentikasi dan menyiapkan akses API dalam workstation

Dokumen ini menjelaskan cara mengautentikasi dan menyiapkan akses API dalam workstation. Untuk mengetahui informasi umum tentang autentikasi Google Cloud, lihat ringkasan autentikasi.

Melakukan autentikasi sebagai pengguna dengan Google Cloud CLI

Setelah meluncurkan Cloud Workstations, Anda dapat mengakses layanan Google Cloud dan API menggunakan akun pengguna melalui CLI gcloud.

1. Buka terminal di workstation Anda. Cara Anda membuka jendela terminal bergantung pada IDE yang Anda gunakan. Misalnya, jika Anda menggunakan editor dasar Cloud Workstations, buka terminal dengan memilih Terminal > New Terminal, atau dengan menekan Control+Shift+`.
2. Autentikasi dengan perintah berikut:

   gcloud auth login --no-launch-browser

3. Ikuti petunjuk yang diberikan oleh perintah untuk melakukan autentikasi ke Google Cloud.
4. Tentukan project ID Google Cloud Anda dengan perintah berikut:

   gcloud config set project PROJECT_ID

5. Aktifkan Kredensial Default Aplikasi agar Anda dapat memanggil layanan Google Cloud.

   gcloud auth application-default login

6. Kredensial CLI gcloud Anda kini disimpan dan tersedia saat Anda menggunakan workstation Anda di sesi mendatang.

Memberikan permintaan HTTP ke workstation

Untuk memberikan permintaan HTTP ke workstation, Anda memerlukan token akses untuk akun yang memiliki peran Cloud Workstations User di workstation tersebut:

1. Buat token akses menggunakan metode API generateAccessToken.
2. Tambahkan header HTTP bernama Authorization dengan nilai Bearer $TOKEN.

Menghubungkan ke workstation di browser

Membuka URL workstation di browser akan otomatis mengautentikasi melalui pengalihan ke server workstation, dan mengambil token akses yang dibuat oleh metode API generateAccessToken. Tindakan ini akan mengalihkan kembali ke workstation Anda dan menetapkan cookie autentikasi yang valid untuk sesi workstation Anda saat ini.

Untuk melewati pengalihan ini, gunakan parameter URL _workstationAccessToken:

1. Buat token akses menggunakan metode API generateAccessToken.
2. Buka URL workstation Anda di browser dan tambahkan parameter URL dengan format berikut: _workstationAccessToken=TOKEN.

Tindakan ini akan menetapkan cookie autentikasi di browser Anda yang mengizinkan akses untuk sesi workstation Anda saat ini. Melewati pengalihan dapat berguna saat akses ke server workstation diblokir oleh kebijakan jaringan, atau saat menggunakan iframe untuk menampilkan workstation di situs lain.

Meniru identitas akun layanan

Jika kebijakan keamanan organisasi Anda mencegah akun pengguna memiliki izin yang diperlukan, Anda juga dapat meniru identitas akun layanan menggunakan properti impersonate_service_account CLI gcloud.

1. Untuk memastikan akun utama memiliki izin yang diperlukan untuk meniru akun layanan, minta administrator untuk memberikan Peran IAM Pembuat Token Akun Layanan (roles/iam.serviceAccountTokenCreator) kepada akun utama di akun layanan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

   Peran yang telah ditetapkan ini berisi izin iam.serviceAccounts.getAccessToken, yang diperlukan untuk meniru akun layanan.

   Administrator Anda mungkin juga dapat memberi akun utama izin ini dengan peran khusus atau peran bawaan lainnya.

2. Buka terminal di workstation Anda atau buka terminal yang sudah terbuka.
3. Untuk menetapkan properti impersonate_service_account, masukkan perintah CLI gcloud berikut:

   gcloud config set auth/impersonate_service_account=SERVICE_ACCT_EMAIL

4. Kredensial CLI gcloud Anda kini disimpan dan tersedia saat Anda menggunakan workstation Anda di sesi mendatang.

Untuk mengetahui informasi selengkapnya, lihat Menggunakan peniruan akun layanan.

Langkah selanjutnya

• Pelajari dukungan SSH lebih lanjut.
• Lihat daftar parameter konfigurasi workstation.
• Kontrol akses dengan Identity and Access Management dan Cloud Workstations