Les identifiants par défaut de l'application (ADC) sont une stratégie utilisée par les bibliothèques d'authentification Google permettant d'accéder automatiquement à des identifiants en fonction de l'environnement d'application. Les bibliothèques d'authentification mettent ces identifiants à la disposition des bibliothèques clientes Cloud et des bibliothèques clientes des API Google. Lorsque vous utilisez les ADC, votre code peut s'exécuter dans un environnement de développement ou de production sans modifier la façon dont votre application s'authentifie auprès des Cloud de Confiance by S3NS services et des API.
Pour savoir comment fournir des identifiants au service ADC, y compris comment générer un fichier ADC local, consultez la page Configurer les identifiants par défaut de l'application.
Rechercher une commande
L'ADC recherche les identifiants dans les emplacements suivants:
- Variable d'environnement
GOOGLE_APPLICATION_CREDENTIALS - Fichier d'identifiants créé à l'aide de la commande
gcloud auth application-default login - Le compte de service associé, renvoyé par le serveur de métadonnées
L'ordre des emplacements vérifiés par le service ADC n'est pas lié au mérite relatif de chaque emplacement. Pour mieux comprendre quelles sont les meilleures façons de fournir des identifiants au service ADC, consultez la page Configurer les identifiants par défaut de l'application.
Variable d'environnement GOOGLE_APPLICATION_CREDENTIALS
Vous pouvez utiliser la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS pour fournir l'emplacement d'un fichier d'identifiants JSON. Ce fichier JSON peut correspondre à l'un des types de fichiers suivants :
Fichier de configuration des identifiants pour la fédération des identités des employés
La fédération des identités des employés vous permet d'utiliser un fournisseur d'identité (IdP) externe pour authentifier et autoriser les utilisateurs à accéder aux Cloud de Confiance ressources. Pour en savoir plus, consultez la page Fédération des identités des employés dans la documentation IAM (Identity and Access Management).
Fichier de configuration des identifiants pour la fédération d'identité de charge de travail
La fédération d'identité de charge de travail vous permet d'utiliser un IdP externe pour authentifier et autoriser les charges de travail à accéder aux Cloud de Confiance ressources. Pour en savoir plus, consultez la page S'authentifier à l'aide de bibliothèques clientes, de la gcloud CLI ou de Terraform de la documentation d'Identity and Access Management (IAM).
Une clé de compte de service
Les clés de compte de service créent un risque de sécurité et ne sont pas recommandées. Contrairement aux autres types de fichiers d'identifiants, les clés de compte de service compromises peuvent être utilisées par un acteur malintentionné sans aucune information supplémentaire. Pour plus d'informations, consultez la page Bonnes pratiques d'utilisation et de gestion des clés de compte de service.
Fichier d'identifiants créé à l'aide de la commande gcloud auth application-default login
Vous pouvez fournir des identifiants au service ADC en exécutant la
gcloud auth application-default login commande. Cette commande crée un fichier JSON contenant les identifiants que vous fournissez (à partir de votre compte utilisateur ou en usurpant l'identité d'un compte de service) et le place dans un emplacement connu de votre système de fichiers. L'emplacement de ce fichier dépend de votre système d'exploitation :
- Linux, macOS :
$HOME/.config/gcloud/application_default_credentials.json - Windows:
%APPDATA%\gcloud\application_default_credentials.json
Les identifiants que vous fournissez au service ADC à l'aide de gcloud CLI sont différents de vos identifiants gcloud, c'est-à-dire ceux qui permettent à gcloud CLI de s'authentifier auprès de Cloud de Confiance. Pour en savoir plus sur ces deux ensembles d'identifiants, consultez la page Configuration de l'authentification via gcloud CLI et configuration de l'ADC .
Le compte de service associé
De nombreux Cloud de Confiance services vous permettent d'associer un compte de service qui peut être
utilisé pour fournir des identifiants permettant d'accéder aux Cloud de Confiance API. Si l'ADC ne trouve pas les identifiants qu'il peut utiliser dans la variable d'environnement ou l'emplacement bien connu des identifiants ADC local, il utilise le serveur de métadonnées pour obtenir les identifiants du service sur lequel le code est exécuté.GOOGLE_APPLICATION_CREDENTIALS
L'utilisation des identifiants du compte de service associé est la méthode privilégiée pour rechercher des identifiants dans un environnement de production sur Cloud de Confiance. Pour utiliser le compte de service associé, procédez comme suit :
- Créez un compte de service géré par l'utilisateur.
- Attribuez à ce compte de service les rôles IAM offrant le niveau d'accès le plus faible possible.
- Associez le compte de service à la ressource où votre code est exécuté.
Pour obtenir de l'aide concernant la création d'un compte de service, consultez la page Créer et gérer des comptes de service. Pour obtenir de l'aide sur l'association d'un compte de service, consultez la section Associer un compte de service à une ressource. Pour déterminer quels sont les rôles IAM requis pour votre compte de service, consultez la page Choisir des rôles prédéfinis.
Étapes suivantes
- Découvrez les meilleurs moyens de fournir des identifiants au service ADC.
- Authentifiez-vous à l'aide des bibliothèques clientes Cloud.
- Découvrez les méthodes d'authentification.
- Apprenez-en plus sur les bibliothèques clientes.