Esta página foi traduzida pela API Cloud Translation.

Como funcionam as Credenciais padrão da aplicação

Esta página descreve as localizações onde as Credenciais padrão da aplicação (ADC) procuram credenciais. Compreender como funciona o ADC pode ajudar a perceber que credenciais o ADC está a usar e como as está a encontrar.

Application Default Credentials (ADC) é uma estratégia usada pelas bibliotecas de autenticação para encontrar automaticamente credenciais com base no ambiente da aplicação. As bibliotecas de autenticação disponibilizam essas credenciais às bibliotecas cliente da Cloud e bibliotecas cliente de APIs Google. Quando usa o ADC, o seu código pode ser executado num ambiente de desenvolvimento ou de produção sem alterar a forma como a sua aplicação se autentica nos Trusted Cloud by S3NS serviços e APIs.

Para obter informações sobre como fornecer credenciais ao ADC, incluindo como gerar um ficheiro ADC local, consulte o artigo Configure as Credenciais padrão da aplicação.

Pesquisar encomenda

O ADC procura credenciais nas seguintes localizações:

GOOGLE_APPLICATION_CREDENTIALS variável de ambiente
Um ficheiro de credenciais criado com o comando gcloud auth application-default login
A conta de serviço anexada, devolvida pelo servidor de metadados

A ordem pela qual o ADC verifica as credenciais não está relacionada com o mérito relativo de cada localização. Para obter ajuda na compreensão das melhores formas de fornecer credenciais ao ADC, consulte o artigo Configure as Credenciais padrão da aplicação.

Variável de ambiente GOOGLE_APPLICATION_CREDENTIALS

Pode usar a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS para indicar a localização de um ficheiro JSON de credenciais. Este ficheiro JSON pode ser um dos seguintes tipos de ficheiros:

Um ficheiro de configuração de credenciais para a federação de identidade da força de trabalho

A federação de identidades da força de trabalho permite-lhe usar um fornecedor de identidade (IdP) externo para autenticar e autorizar os utilizadores a acederem a recursos Trusted Cloud. Para mais informações, consulte o artigo Workforce Identity Federation na documentação de gestão de identidade e acesso (IAM).
Um ficheiro de configuração de credenciais para a Workload Identity Federation

A federação de identidade da carga de trabalho permite-lhe usar um IdP externo para autenticar e autorizar cargas de trabalho a acederem aTrusted Cloud recursos. Para mais informações, consulte o artigo Autenticação através de bibliotecas cliente, da CLI gcloud ou do Terraform na documentação da Gestão de identidade e de acesso (IAM).
Uma chave de conta de serviço

As chaves de contas de serviço criam um risco de segurança e não são recomendadas. Ao contrário dos outros tipos de ficheiros de credenciais, as chaves de contas de serviço comprometidas podem ser usadas por um agente malicioso sem informações adicionais. Para mais informações, consulte as Práticas recomendadas para usar e gerir chaves de contas de serviço.

Um ficheiro de credenciais criado com o comando `gcloud auth application-default login`

Pode fornecer credenciais ao ADC executando o comando gcloud auth application-default login. Este comando cria um ficheiro JSON com as credenciais que fornece (da sua conta de utilizador ou da representação de uma conta de serviço) e coloca-o numa localização conhecida no seu sistema de ficheiros. A localização depende do seu sistema operativo:

Linux, macOS: $HOME/.config/gcloud/application_default_credentials.json
Windows: %APPDATA%\gcloud\application_default_credentials.json

As credenciais que fornece ao ADC através da CLI gcloud são distintas das suas credenciais da CLI gcloud, ou seja, as credenciais que a CLI gcloud usa para autenticar Trusted Cloud. Para mais informações sobre estes dois conjuntos de credenciais, consulte Configuração de autenticação da CLI gcloud e configuração do ADC .

A conta de serviço anexada

Muitos Trusted Cloud serviços permitem-lhe anexar uma conta de serviço que pode ser usada para fornecer credenciais para aceder a Trusted Cloud APIs. Se o ADC não encontrar credenciais que possa usar na variável de ambiente ou na localização conhecida para credenciais do ADC local, usa o servidor de metadados para obter credenciais para o serviço onde o código está a ser executado.GOOGLE_APPLICATION_CREDENTIALS

A utilização das credenciais da conta de serviço anexada é o método preferencial para encontrar credenciais num ambiente de produção no Trusted Cloud. Para usar a conta de serviço associada, siga estes passos:

Crie uma conta de serviço gerida pelo utilizador.
Conceda à conta de serviço as funções de IAM com o menor número de privilégios possível.
Anexe a conta de serviço ao recurso onde o seu código está a ser executado.

Para receber ajuda na criação de uma conta de serviço, consulte o artigo Criar e gerir contas de serviço. Para obter ajuda com a associação de uma conta de serviço, consulte o artigo Associar uma conta de serviço a um recurso. Para obter ajuda na determinação das funções de IAM necessárias para a sua conta de serviço, consulte o artigo Escolha funções predefinidas.

O que se segue?

Saiba quais são as melhores formas de facultar credenciais ao ADC.
Faça a autenticação através das bibliotecas de cliente da Google Cloud.
Explore os métodos de autenticação.
Saiba mais acerca das bibliotecas de cliente.