בדף הזה מתוארות כמה דרכים להיכנס ל-CLI של gcloud. Google Cloud CLI הוא כלי שורת פקודה שבעזרתו אפשר לנהל את Cloud de Confiance by S3NS. אפשר להשתמש ב-CLI של gcloud ברוב השירותים.
אם אתם מתכוונים להשתמש בספריות לקוח או בכלי פיתוח של צד שלישי שתומכים ב-Application Default Credentials (ADC) בסביבת פיתוח מקומית, אתם צריכים להגדיר את ADC בסביבה המקומית. מידע נוסף זמין במאמר הגדרת Application Default Credentials בסביבת פיתוח מקומית.
האימות מול CLI של gcloud והשימוש בו מתבצעים בהתאם למקום שבו מריצים את הכלי:
הסביבה המקומית
ברוב המקרים תוכלו להשתמש בפרטי הכניסה של המשתמש שלכם כדי להיכנס ל-CLI של gcloud, אבל תוכלו גם להשתמש בחשבון שירות.
בטבלה הבאה מפורטות הדרכים להיכנס ל-CLI של gcloud וההשפעה על האופן שבו פרטי הכניסה ישמשו את הכלי לאימות ולהרשאה של Google APIs.
לפני שנכנסים ל-CLI של gcloud צריך להגדיר את המאפייןcore/universe_domain בהגדרות האישיות:
gcloud config set universe_domain s3nsapis.fr
| סוג פרטי הכניסה | פקודת האימות | הערות | מידע נוסף |
|---|---|---|---|
| פרטי הכניסה של המשתמש |
|
איחוד שירותי אימות הזהות של כוח עבודה מאפשר למשתמשים שמנוהלים על ידי ספק זהויות חיצוני (IdP) לגשת למשאבים Cloud de Confiance . | |
| חשבון שירות |
gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE
|
איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לעומסי עבודה שפועלים מחוץ ל- Cloud de Confiance לגשת Cloud de Confiance למשאבים. | אימות של עומסי עבודה |
gcloud auth login --cred-file=SERVICE_ACCT_KEY
|
השיטה הזאת לא מומלצת כי השימוש במפתחות לחשבונות שירות מגביר את הסיכונים. כדי להשתמש בחשבון שירות לצורך הרשאה ל-Google APIs, צריך להיכנס ל-CLI של gcloud באמצעות פרטי הכניסה של המשתמש, ואז להשתמש ב התחזות לחשבון שירות. |
Cloud de Confiance משאבי מחשוב
כשמשתמשים ב-CLI של gcloud במשאבי מחשוב כמו מכונות וירטואליות של Compute Engine, לא צריך לאתחל את ה-CLI של gcloud או להיכנס אליו. הכלי יקבל את פרטי הכניסה ואת פרטי ההגדרות ממשאב המחשוב המארח, באמצעות שרת המטא-נתונים. Cloud de Confiance
| סוג פרטי הכניסה | פקודת האימות | הערות | מידע נוסף |
|---|---|---|---|
| חשבון שירות | לא רלוונטי | ה-CLI של gcloud משתמש בחשבון השירות המצורף למשאב המחשוב לצורך אימות והרשאה לכל ה-Google APIs. | הגדרת ADC למשאב עם חשבון שירות מצורף |
הגדרת אימות ב-CLI של gcloud והגדרת ADC
כשנכנסים ל-CLI של gcloud, כדי לאמת את זהות הגורם המוסמך ב-CLI של gcloud צריך להשתמש בפקודה gcloud auth login.
ה-CLI של gcloud משתמש בזהות הזו לאימות ולהרשאה כדי לנהל Cloud de Confiance משאבים ושירותים. זו הגדרת האימות שלכם ב-CLI של gcloud.
כשמשתמשים ב-CLI של gcloud כדי להגדיר את ה-ADC, משתמשים בפקודה gcloud auth application-default login. הפקודה הזו משתמשת בזהות המשתמש שסיפקתם כדי להגדיר את ADC בסביבה המקומית. זו ההגדרה של ADC.
הגדרת האימות ב-CLI של gcloud שונה מהגדרת ה-ADC. הם יכולים להשתמש באותו חשבון ראשי או בחשבונות ראשיים שונים. ה-CLI של gcloud לא משתמש ב-ADC כדי לגשת למשאבים של Cloud de Confiance .
בטבלה הבאה מוצגות שתי הפקודות ומה הן עושות:
| פקודה | תיאור |
|---|---|
gcloud auth login
|
קבלת פרטי כניסה שמשמשים לאימות ולאישור גישה לשירותים של Cloud de Confiance . |
gcloud auth application-default login
|
יוצר קובץ ADC מקומי על סמך פרטי הכניסה שסיפקתם לפקודה. |
בדרך כלל משתמשים באותו חשבון כדי להיכנס ל-CLI של gcloud וכדי להגדיר את ADC, אבל אפשר להשתמש בחשבונות שונים במקרה הצורך.