Questo documento descrive come accedere a Google Cloud CLI con la tua identità federata utilizzando un accesso basato sul browser.
Prima di iniziare
Assicurati che l'amministratore abbia configurato la federazione delle identità per la forza lavoro.
Assicurati di disporre di informazioni che supportino una delle seguenti opzioni. Il tuo amministratore può fornirti queste informazioni.
ID pool e provider di identità della forza lavoro: un ID pool di identità della forza lavoro e un ID provider di identità della forza lavoro che puoi utilizzare per creare un file di configurazione di accesso.
File di configurazione esistente: un percorso a un file di configurazione dell'accesso esistente che puoi utilizzare per accedere a gcloud CLI.
Contenuto del file di configurazione: il contenuto del file di configurazione che puoi salvare in un file di configurazione.
Ottenere un file di configurazione dell'accesso
Questa sezione descrive come ottenere un file di configurazione dell'accesso che puoi utilizzare per accedere alla gcloud CLI.
Crea un file di configurazione di accesso
Puoi utilizzare l'ID pool di identità per i carichi di lavoro e l'ID provider del pool di identità per i carichi di lavoro per creare un file di configurazione di accesso.
Per creare il file di configurazione di accesso, esegui questo comando. Se vuoi, puoi attivare
il file come predefinito per gcloud CLI aggiungendo il
flag --activate.
Puoi quindi eseguire gcloud auth login senza specificare
il percorso del file di configurazione ogni volta.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Sostituisci quanto segue:
WORKFORCE_POOL_ID: l'ID pool di forza lavoroPROVIDER_ID: l'ID fornitoreLOGIN_CONFIG_FILE_PATH: il percorso di un file di configurazione specificato, ad esempiologin.json
Il file contiene gli endpoint utilizzati da gcloud CLI per attivare il flusso di autenticazione basato sul browser e impostare il pubblico sul provider del pool di identità della forza lavoro configurato. Il file non contiene informazioni riservate.
L'output è simile al seguente:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect", }
Per impedire a
gcloud auth login di utilizzare automaticamente questo file di configurazione, puoi annullarne l'impostazione eseguendo
gcloud config unset auth/login_config_file.
Ora puoi accedere a gcloud CLI.
Salvare un file di configurazione di accesso
Puoi salvare in un file i contenuti del file di configurazione delle credenziali che ti sono stati forniti. Prendi nota del percorso, poi accedi a gcloud CLI.
Accedi a gcloud CLI
Per accedere a gcloud CLI con un file di configurazione di accesso, esegui questo comando:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Sostituisci LOGIN_CONFIG_FILE_PATH con il percorso del file di configurazione di accesso, se non lo hai attivato in precedenza.
Tuttavia, se hai già attivato questo file utilizzando il flag
--activate, non devi specificarlo di nuovo.
Esegui invece questo comando:
gcloud auth login