Mengautentikasi dan menyiapkan akses API dalam workstation

Dokumen ini menjelaskan cara mengautentikasi dan menyiapkan akses API dalam workstation. Untuk mengetahui informasi umum tentang autentikasi Google Cloud, lihat ringkasan autentikasi.

Melakukan autentikasi sebagai pengguna dengan Google Cloud CLI

Setelah meluncurkan Cloud Workstations, Anda dapat mengakses layanan dan API Google Cloud menggunakan akun pengguna melalui CLI gcloud.

  1. Buka terminal di workstation Anda. Cara membuka jendela terminal bergantung pada IDE yang Anda gunakan. Misalnya, jika Anda menggunakan editor dasar Cloud Workstations, buka terminal dengan memilih Terminal > New Terminal, atau dengan menekan Control+Shift+`.
  2. Lakukan autentikasi dengan perintah berikut: 
    gcloud auth login --no-launch-browser
  3. Ikuti petunjuk yang diberikan oleh perintah untuk melakukan autentikasi ke Google Cloud.
  4. Tentukan project ID Google Cloud Anda dengan perintah berikut: 
    gcloud config set project PROJECT_ID
  5. Aktifkan Kredensial Default Aplikasi agar Anda dapat memanggil layanan Google Cloud. 
    gcloud auth application-default login
  6. Kredensial CLI gcloud Anda kini disimpan dan tersedia saat Anda menggunakan workstation dalam sesi mendatang.

Memberikan permintaan HTTP ke workstation

Untuk mengeluarkan permintaan HTTP ke workstation, Anda memerlukan token akses untuk akun yang memiliki peran Pengguna Cloud Workstations di workstation tersebut:

  1. Buat token akses menggunakan metode API generateAccessToken.
  2. Tambahkan header HTTP bernama Authorization dengan nilai Bearer $TOKEN.

Menghubungkan ke workstation di browser Anda

Membuka URL workstation di browser akan otomatis mengautentikasi melalui pengalihan ke server workstation, dan mengambil token akses yang dihasilkan oleh metode API generateAccessToken. Tindakan ini akan mengalihkan Anda kembali ke workstation dan menetapkan cookie autentikasi yang valid untuk sesi workstation Anda saat ini.

Untuk melewati pengalihan ini, gunakan parameter URL _workstationAccessToken:

  1. Buat token akses menggunakan metode API generateAccessToken.
  2. Buka URL workstation Anda di browser dan tambahkan parameter URL dengan bentuk berikut: _workstationAccessToken=TOKEN.

Tindakan ini akan menetapkan cookie autentikasi di browser Anda yang memungkinkan akses untuk sesi workstation Anda saat ini. Melewati pengalihan dapat membantu saat akses ke server workstation diblokir oleh kebijakan jaringan, atau saat menggunakan iframe untuk menampilkan workstation di situs lain.

Meniru identitas akun layanan

Jika kebijakan keamanan organisasi Anda mencegah akun pengguna memiliki izin yang diperlukan, Anda juga dapat meniru identitas akun layanan. Untuk meniru identitas akun layanan yang ditentukan pada konfigurasi workstation, Anda dapat menentukan kolom cakupan akun layanan. 

        gcloud workstations configs create CONFIG \
            --cluster=CLUSTER \
            --region=REGION \
            --project=PROJECT \
            --service-account=SERVICE_ACCOUNT \
            --service-account-scopes=https://www.googleapis.com/auth/cloud-platform
Jika ditentukan, pengguna workstation dalam konfigurasi ini harus memiliki izin iam.serviceAccounts.actAs di akun layanan. Untuk informasi selengkapnya tentang cara menentukan cakupan untuk akun layanan, lihat Cakupan akses.

Langkah selanjutnya