gcloud CLI を使用して認証する

このページでは、gcloud CLI にログインするためのさまざまな方法について説明します。Google Cloud CLI は、 Trusted Cloud by S3NS管理に使用できるコマンドラインツールです。ほとんどのサービスは gcloud CLI をサポートしています。

ローカル開発環境でアプリケーションのデフォルト認証情報（ADC）をサポートするクライアントライブラリまたはサードパーティ開発ツールを使用する場合は、ローカル環境で ADC を設定する必要があります。詳細については、ローカル開発環境用のアプリケーションのデフォルト認証情報を設定するをご覧ください。

gcloud CLI に対する認証方法と使用方法は、ツールの実行場所によって異なります。

ローカル環境
Trusted Cloud by S3NS コンピューティングリソース

ローカル環境

ほとんどのユースケースでは、ユーザー認証情報を使用して gcloud CLI にログインできますが、サービスアカウントを使用することもできます。

次の表は、gcloud CLI へのログインオプションと、ツールが Google API の認証と認可に使用する認証情報への影響を示しています。

gcloud CLI にログインする前に、構成で core/universe_domain プロパティを設定する必要があります。

gcloud config set universe_domain s3nsapis.fr

認証情報の種類認証コマンド注詳細

ユーザー認証情報

認証情報の種類	認証コマンド	注	詳細
ユーザー認証情報	`gcloud config set auth/login_config_file WORKFORCE_IDENTITY_FEDERATION_LOGIN_CONFIGURATION_FILE` `gcloud auth login`	Workforce Identity 連携により、外部 ID プロバイダ（IdP）によって管理されているユーザーは、 Trusted Cloud リソースにアクセスできます。	フェデレーション ID を使用して gcloud CLI にログインする Workforce Identity の連携
サービスアカウント	`gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE`	Workload Identity 連携を使用すると、 Trusted Cloud の外部で実行されているワークロードから Trusted Cloud リソースにアクセスできます。	ワークロードの認証を行う
`gcloud auth login --cred-file=SERVICE_ACCT_KEY`	サービスアカウントキーを使用するとリスクが高くなるため、この方法はおすすめしません。 Google API の認可にサービスアカウントを使用する場合は、ユーザー認証情報で gcloud CLI にログインし、サービスアカウントの権限借用を使用します。	サービスアカウントキーを管理するためのベストプラクティスサービスアカウントの権限借用を使用する

gcloud config set auth/login_config_file WORKFORCE_IDENTITY_FEDERATION_LOGIN_CONFIGURATION_FILE
gcloud auth login

Workforce Identity 連携により、外部 ID プロバイダ（IdP）によって管理されているユーザーは、 Trusted Cloud リソースにアクセスできます。

サービスアカウント gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE Workload Identity 連携を使用すると、 Trusted Cloud の外部で実行されているワークロードから Trusted Cloud リソースにアクセスできます。ワークロードの認証を行う

gcloud auth login --cred-file=SERVICE_ACCT_KEY

サービスアカウントキーを使用するとリスクが高くなるため、この方法はおすすめしません。

Google API の認可にサービスアカウントを使用する場合は、ユーザー認証情報で gcloud CLI にログインし、サービスアカウントの権限借用を使用します。

Trusted Cloud コンピューティングリソース

Compute Engine 仮想マシンなどの Trusted Cloud コンピューティングリソースで gcloud CLI を使用する場合、メタデータサーバーを使用して gcloud CLI の認証情報と構成情報がホスティングコンピューティングリソースから取得されるため、gcloud CLI の初期化やログインを行う必要はありません。

認証情報の種類	認証コマンド	注	詳細
サービスアカウント	該当なし	gcloud CLI では、コンピューティングリソースに関連付けられたサービスアカウントが、すべての Google API の認証と認可に使用されます。	サービスアカウントが接続されたリソースの ADC を設定する

gcloud CLI 認証構成と ADC 構成

gcloud CLI にログインするときは、gcloud auth login コマンドを使用して、gcloud CLI に対するプリンシパルを認証します。gcloud CLI は、そのプリンシパルを使用して、 Trusted Cloud のリソースとサービスを管理するための認証と認可を行います。これが gcloud CLI 認証構成です。

gcloud CLI を使用して ADC を構成する場合は、gcloud auth application-default login コマンドを使用します。このコマンドは、指定したプリンシパルを使用して、ローカル環境の ADC を構成します。これが ADC 構成です。

gcloud CLI 認証構成は ADC 構成とは異なります。同じプリンシパル、または、異なるプリンシパルを使用することができます。gcloud CLI は、ADC を使用して Trusted Cloud リソースにアクセスしません。

次の表に、2 つのコマンドとその動作を示します。

コマンド	説明
`gcloud auth login`	Trusted Cloud サービスへのアクセスの認証と認可に使用される認証情報を受け入れます。
`gcloud auth application-default login`	コマンドに指定した認証情報に基づいて、ローカル ADC ファイルを生成します。

通常は、同じアカウントで gcloud CLI にログインして ADC を構成しますが、必要に応じて別のアカウントを使用することもできます。

gcloud CLI を使用して認証する

ローカル環境

Trusted Cloud コンピューティング リソース

gcloud CLI 認証構成と ADC 構成

次のステップ

Trusted Cloud コンピューティングリソース