במאמר הזה נתאר איפה מתבצע החיפוש של פרטי הכניסה בשירות Application Default Credentials (ADC). המידע הזה יעזור לכם להבין באילו פרטי כניסה נעשה שימוש ב-ADC ואיפה הם אמורים להימצא.
השירותApplication Default Credentials (ADC) משמש את ספריות האימות כדרך למצוא את פרטי הכניסה באופן אוטומטי על סמך הסביבה שבה פועלת האפליקציה. ספריות האימות מאפשרות לספריות הלקוח ב-Cloud ולספריות הלקוח של Google API לגשת לפרטי הכניסה האלה. כשעובדים עם ADC, הקוד יכול לפעול גם בסביבת הפיתוח וגם בסביבת הייצור, בלי שתצטרכו לשנות את שיטת האימות של האפליקציות מול Cloud de Confiance by S3NS השירותים וממשקי ה-API.
במאמר הגדרת Application Default Credentials מוסבר איך לספק פרטי כניסה ל-ADC, כולל איך ליצור קובץ ADC מקומי.
סדר החיפוש
החיפוש של פרטי הכניסה ב-ADC מתבצע במקומות הבאים:
- במשתנה הסביבה
GOOGLE_APPLICATION_CREDENTIALS - קובץ פרטי כניסה שנוצר באמצעות הפקודה
gcloud auth application-default login - בחשבון השירות המצורף, שהוחזר על ידי שרת המטא-נתונים
הסדר של המקומות לחיפוש פרטי כניסה ב-ADC לא מרמז על סדר החשיבות שלהם. במאמר איך מגדירים את Application Default Credentials מתוארות הדרכים המומלצות לספק פרטי כניסה ל-ADC.
משתנה הסביבה GOOGLE_APPLICATION_CREDENTIALS
אפשר להשתמש במשתנה הסביבה GOOGLE_APPLICATION_CREDENTIALS כדי לספק את המיקום של קובץ ה-JSON שמכיל את פרטי הכניסה. קובץ ה-JSON יכול להיות בכל אחד מסוגי הקבצים הבאים:
קובץ תצורה של פרטי הכניסה לאיחוד שירותי אימות הזהות של כוח העבודה
איחוד שירותי אימות הזהות של כוח עבודה מאפשר להשתמש בספק זהויות חיצוני (IdP) כדי לאמת משתמשים ולאשר להם גישה למשאבים ב- Cloud de Confiance. מידע נוסף זמין במאמר איחוד שירותי אימות הזהות של כוח העבודה במרכז העזרה בנושא ניהול זהויות והרשאות גישה (IAM).
קובץ תצורה של פרטי הכניסה עבור איחוד שירותי אימות הזהות של עומסי העבודה
איחוד זהויות של עומסי עבודה מאפשר להשתמש ב-IdP חיצוני כדי לאמת עומסי עבודה ולהעניק להם הרשאה לגשת למשאבים שלCloud de Confiance . למידע נוסף, ראו אימות באמצעות ספריות לקוח, ה-CLI של gcloud או Terraform, במאמרי העזרה בנושא ניהול זהויות והרשאות גישה (IAM).
מַפְתח של חשבון שירות
מפתחות של חשבונות שירות יוצרים סיכון אבטחה ולא מומלץ להשתמש בהם. בניגוד לסוגים אחרים של קובצי פרטי כניסה, גורם זדוני עלול להשתמש במפתחות של חשבונות שירות שנפרצו גם ללא מידע נוסף. מידע נוסף זמין במאמר שיטות מומלצות לשימוש ולניהול מפתחות של חשבונות שירות.
קובץ פרטי כניסה שנוצר באמצעות הפקודה gcloud auth application-default login
אתם יכולים לספק פרטי כניסה ל-ADC על ידי הרצת הפקודה gcloud auth application-default login. הפקודה הזו יוצרת קובץ JSON שמכיל את פרטי הכניסה שאתם מספקים (של חשבון המשתמש שלכם או של חשבון שירות שאתם מתחזים לו) וממקמת אותו במיקום ידוע במערכת הקבצים שלכם. המיקום שלו תלוי במערכת ההפעלה:
- ב-Linux ו-macOS:
$HOME/.config/gcloud/application_default_credentials.json - ב-Windows:
%APPDATA%\gcloud\application_default_credentials.json
פרטי הכניסה שאתם מספקים ל-ADC באמצעות ה-CLI של gcloud הם לא אותם פרטי הכניסה שה-CLI של gcloud משתמש כדי לאמת מול Cloud de Confiance. מידע נוסף על שתי קבוצות פרטי הכניסה האלה זמין במאמר הגדרת אימות ב-CLI של gcloud והגדרת ADC .
חשבון השירות המצורף
בשירותים רבים Cloud de Confiance אפשר לצרף חשבון שירות שמספק את פרטי הכניסה כדי לגשת ל-APIs Cloud de Confiance . אם ADC לא מוצא את פרטי הכניסה במשתנה הסביבה GOOGLE_APPLICATION_CREDENTIALS או במיקום הידוע של פרטי הכניסה המקומיים של ADC, ADC יחפש את פרטי הכניסה בשרת המטא-נתונים של השירות שבו הקוד פועל.
השימוש בפרטי הכניסה מחשבון השירות המצורף הוא השיטה המועדפת למציאת פרטי כניסה בסביבת הייצור ב- Cloud de Confiance. כדי להשתמש בחשבון השירות המצורף:
- יוצרים חשבון שירות שמנוהל על ידי משתמש.
- מקצים לחשבון השירות את התפקידים עם ההרשאות המינימליות הנדרשות ב-IAM.
- מחברים את חשבון השירות למשאב שבו הקוד פועל.
למידע נוסף על יצירת חשבון שירות, תוכלו לקרוא את המאמר יצירה וניהול של חשבונות שירות. למידע נוסף, ראו איך מחברים חשבון שירות למשאב. במאמר בחירת תפקידים מוגדרים מראש מוסבר איך מגדירים את תפקידי ה-IAM הנדרשים לחשבון השירות.