Auf dieser Seite werden die Standorte beschrieben, an denen Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) nach Anmeldedaten sucht. Wenn Sie wissen, wie ADC funktioniert, können Sie nachvollziehen, welche Anmeldedaten ADC verwendet und wie sie gefunden werden.
Application Default Credentials (ADC) ist eine Strategie, die von den Google-Authentifizierungsbibliotheken verwendet wird, um Anmeldedaten automatisch basierend auf der Anwendungsumgebung zu finden. Die Authentifizierungsbibliotheken stellen diese Anmeldedaten für Cloud-Clientbibliotheken und Google API-Clientbibliotheken zur Verfügung. Wenn Sie ADC verwenden, kann Ihr Code in einer Entwicklungs- oder Produktionsumgebung ausgeführt werden, ohne dass sich die Authentifizierung Ihrer Anwendung bei Diensten und APIs ändert. Trusted Cloud by S3NS
Informationen zum Bereitstellen von Anmeldedaten für ADC, einschließlich zum Generieren einer lokalen ADC-Datei, finden Sie unter Standardanmeldedaten für Anwendungen einrichten.
Bestellung suchen
ADC sucht an folgenden Standorten nach Anmeldedaten:
GOOGLE_APPLICATION_CREDENTIALSUmgebungsvariable- Eine Anmeldedatendatei, die mit dem Befehl
gcloud auth application-default loginerstellt wurde - Das angehängte Dienstkonto, das vom Metadatenserver zurückgegeben wird
Hinweis: Die Reihenfolge der Standorte, die ADC auf Anmeldedaten prüft, hängt nicht mit der relativen Leistung jedes Standorts zusammen. Informationen zu den besten Möglichkeiten für die Bereitstellung von Anmeldedaten für ADC finden Sie unter Standardanmeldedaten für Anwendungen einrichten.
Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS
Sie können die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS verwenden, um den Speicherort einer JSON-Datei mit Anmeldedaten anzugeben. Diese JSON-Datei kann einen der folgenden Dateitypen haben:
Eine Konfigurationsdatei für Anmeldedaten für die Mitarbeiteridentitätsföderation
Mit der Workforce Identity-Föderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, um Nutzer für den Zugriff auf Trusted Cloud-Ressourcen zu authentifizieren und zu autorisieren. Weitere Informationen finden Sie unter Workforce Identity-Föderation in der Dokumentation zur Identitäts- und Zugriffsverwaltung (IAM).
Eine Konfigurationsdatei für Anmeldedaten für die Mitarbeiteridentitätsföderation
Mit der Identitätsföderation von Arbeitslasten können Sie einen externen Identitätsanbieter zur Authentifizierung und Autorisierung von Arbeitslasten für den Zugriff aufTrusted Cloud -Ressourcen verwenden. Weitere Informationen finden Sie in der Dokumentation zur Identitäts- und Zugriffsverwaltung (IAM) unter Mit Clientbibliotheken, der gcloud CLI oder Terraform authentifizieren.
Ein Dienstkontoschlüssel
Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar und werden nicht empfohlen. Im Gegensatz zu den anderen Dateitypen mit Anmeldedaten können manipulierte Dienstkontoschlüssel von einem böswilligen Akteur ohne zusätzliche Informationen verwendet werden. Weitere Informationen finden Sie unter Best Practices für die Verwendung und Verwaltung von Dienstkontoschlüsseln.
Eine Anmeldedatendatei, die mit dem Befehl gcloud auth application-default login erstellt wurde
Sie können Anmeldedaten für ADC bereitstellen, indem Sie den Befehl gcloud auth application-default login ausführen. Mit diesem Befehl wird eine JSON-Datei mit den von Ihnen angegebenen Anmeldedaten erstellt (entweder aus Ihrem Nutzerkonto oder durch Identitätsdiebstahl eines Dienstkontos) und an einem bekannten Speicherort in Ihrem Dateisystem abgelegt. Der Speicherort hängt von Ihrem Betriebssystem ab:
- Linux, macOS:
$HOME/.config/gcloud/application_default_credentials.json - Windows:
%APPDATA%\gcloud\application_default_credentials.json
Die Anmeldedaten, die Sie für die ADC mithilfe der gcloud CLI angeben, unterscheiden sich von den gcloud-Anmeldedaten, also den Anmeldedaten, die von der gcloud CLI zur Authentifizierung bei Trusted Cloudverwendet werden. Weitere Informationen zu diesen beiden Gruppen von Anmeldedaten finden Sie unter Authentifizierungskonfiguration der gcloud CLI und ADC-Konfiguration .
Das angehängte Dienstkonto
Bei vielen Trusted Cloud Diensten können Sie ein Dienstkonto anhängen, mit dem Anmeldedaten für den Zugriff auf Trusted Cloud APIs bereitgestellt werden können. Wenn ADC keine Anmeldedaten findet, die es entweder in der Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS oder am bekannten Speicherort für lokale Anmeldedaten des ADC verwenden kann, wird der Metadatenserver verwendet. um Anmeldedaten für den Dienst abzurufen, in dem der Code ausgeführt wird.
Die Verwendung der Anmeldedaten aus dem angehängten Dienstkonto ist die bevorzugte Methode, um Anmeldedaten in einer Produktionsumgebung auf Trusted Cloudzu finden. So verwenden Sie das angehängte Dienstkonto:
- Erstellen Sie ein vom Nutzer verwaltetes Dienstkonto.
- Gewähren Sie diesem Dienstkonto die möglichen IAM-Rollen mit den geringsten Berechtigungen.
- Hängen Sie das Dienstkonto an die Ressource an, in der Ihr Code ausgeführt wird.
Informationen zum Erstellen eines Dienstkontos finden Sie unter Dienstkonten erstellen und verwalten. Informationen zum Anhängen eines Dienstkontos finden Sie unter Dienstkonto an eine Ressource anhängen. Informationen zum Ermitteln der erforderlichen IAM-Rollen für Ihr Dienstkonto finden Sie unter Vordefinierte Rollen auswählen.