יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת ADC לסביבת פיתוח מקומית

בסביבת פיתוח מקומית אתם יכולים לספק ל-ADC את פרטי הכניסה של המשתמש או את פרטי הכניסה לחשבון השירות.

פרטי הכניסה של המשתמש

כשאתם מריצים את הקוד בסביבת פיתוח מקומית, למשל בעמדת פיתוח, האפשרות הטובה ביותר היא להשתמש בפרטי הכניסה שמשויכים לחשבון המשתמש שלכם.

כדי להגדיר ADC לחשבון משתמש שמנוהל על ידי ספק זהויות חיצוני ומאוחד עם איחוד שירותי אימות הזהות של כוח עבודה:

התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:
```
gcloud init
```
יוצרים פרטי כניסה לאימות מקומי עבור חשבון המשתמש:
```
gcloud auth application-default login
```
אם מוחזרת שגיאת אימות ואתם משתמשים בספק זהויות חיצוני (IdP), ודאו ש נכנסתם ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

מסך הכניסה יופיע. אחרי שנכנסים, פרטי הכניסה נשמרים בקובץ פרטי הכניסה המקומי שמשמש את ADC.

טיפים להגדרת ADC עם פרטי הכניסה של המשתמש

כשמגדירים את ה-ADC עם חשבון המשתמש, חשוב לשים לב לעובדות הבאות:

יכול להיות ש-ADC שהוגדר עם חשבון משתמש לא יפעל בחלק מממשקי ה-API בלי לבצע שלבי הגדרה נוספים. יכול להיות שתראו הודעת שגיאה על כך שה-API לא מופעל בפרויקט או שאין פרויקט זמין לצורכי מכסה. במקרה כזה, תוכלו להיעזר במאמר פרטי הכניסה של משתמשים לא פועלים.
קובץ ה-ADC המקומי מכיל את אסימון הרענון שלכם. כל משתמש שיש לו גישה למערכת הקבצים יכול להשתמש בו כדי לקבל אסימון גישה תקף. אם אתם לא צריכים יותר את פרטי הכניסה המקומיים, תוכלו לבטל אותם באמצעות הפקודה gcloud auth application-default revoke.
הקובץ המקומי של ADC משויך לחשבון המשתמש שלכם, לא להגדרות האישיות ב-CLI של gcloud. שינוי ההגדרות האישיות ב-CLI של gcloud עשוי לשנות את הזהות שבה נעשה שימוש ב-CLI של gcloud, אבל הוא לא משפיע על הקובץ המקומי של ADC או על ההגדרות של ADC.

פרטי כניסה לחשבון שירות

אתם יכולים להתחזות לחשבון שירות או להשתמש במפתח לחשבון שירות כדי להגדיר את ADC באמצעות פרטי כניסה מחשבון שירות.

התחזות לחשבון שירות

אתם יכולים להתחזות לחשבון שירות כדי להגדיר קובץ מקומי ל-Application Default Credentials (‏ADC). ספריות הלקוח שתומכות בהתחזות יכולות להשתמש בפרטי הכניסה האלה באופן אוטומטי. אפשר ליצור קבצים מקומיים ל-ADC באמצעות התחזות בשפות הבאות:

C#‎
C++‎
Go
Java
Node.js
PHP
Python
Ruby
חלודה

אתם צריכים את התפקיד Service Account Token Creator ‏(roles/iam.serviceAccountTokenCreator) ב-IAM לחשבון השירות שאליו אתם מתחזים. למידע נוסף תוכלו לקרוא על התפקידים הנדרשים.

כך יוצרים קובץ מקומי ל-ADC באמצעות התחזות לחשבון שירות:

gcloud auth application-default login --impersonate-service-account SERVICE_ACCT_EMAIL

עכשיו אפשר להשתמש בספריות לקוח בשפות הנתמכות באותו אופן שבו משתמשים בהן אחרי שמגדירים קובץ ADC מקומי עם פרטי כניסה של משתמש. ספריות האימות מוצאות את פרטי הכניסה באופן אוטומטי. מידע נוסף זמין במאמר אימות לצורך שימוש בספריות לקוח.

לא כל ספריות האימות תומכות בפרטי כניסה מקובץ ADC מקומי שנוצר באמצעות התחזות לחשבון שירות. מידע נוסף מופיע במאמר שגיאה שמוחזרת לפרטי כניסה מקומיים מהתחזות לחשבון שירות.

מפתחות של חשבונות שירות

אם אין לכם אפשרות להשתמש בחשבון משתמש או להתחזות לחשבון שירות לצורכי פיתוח מקומי, תוכלו להשתמש במפתח של חשבון שירות.

הערה: אם לא מנהלים כראוי את המפתחות לחשבונות השירות הם עלולים לסכן את האבטחה. כשזה אפשרי, מומלץ לבחור שיטה מאובטחת יותר ממפתחות של חשבונות שירות. אם אתם מוכרחים לבצע אימות באמצעות מפתח של חשבון שירות, באחריותכם לאבטח את המפתח הפרטי ולבצע פעולות אחרות שמתוארות במאמר שיטות מומלצות לניהול מפתחות לחשבונות שירות. אם אין לכם אפשרות ליצור מפתח לחשבון שירות, יכול להיות שהיצירה של מפתחות לחשבון שירות מושבתת בארגון שלכם. מידע נוסף זמין במאמר בנושא ניהול משאבי ארגון שמוגדרים כמאובטחים כברירת מחדל.

אם קיבלתם את המפתח של חשבון השירות ממקור חיצוני, אתם צריכים לאמת אותו לפני השימוש. מידע נוסף זמין במאמר בנושא דרישות אבטחה לגבי אישורים ממקורות חיצוניים.

כך יוצרים מפתח של חשבון שירות ומגדירים אותו כזמין ל-ADC:

מבצעים את ההוראות ליצירת מפתח של חשבון שירות כדי ליצור את חשבון השירות עם התפקידים הנדרשים לאפליקציה ואת המפתח.
מגדירים את משתנה הסביבה GOOGLE_APPLICATION_CREDENTIALS לנתיב של קובץ ה-JSON שמכיל את פרטי הכניסה. המשתנה הזה חל רק על סשן המעטפת הנוכחי, כך שאם פותחים סשן חדש צריך להגדיר את המשתנה שוב.
למשל: Linux או macOS
```
export GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"
```
מחליפים את KEY_PATH בנתיב של קובץ ה-JSON שמכיל את פרטי הכניסה.

לדוגמה:
```
export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"
```
למשל: Windows

ל-PowerShell:
```
$env:GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"
```
מחליפים את KEY_PATH בנתיב של קובץ ה-JSON שמכיל את פרטי הכניסה.

לדוגמה:
```
$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"
```
בשורת הפקודה:
```
set GOOGLE_APPLICATION_CREDENTIALS=KEY_PATH
```
מחליפים את KEY_PATH בנתיב של קובץ ה-JSON שמכיל את פרטי הכניסה.

הערה: כשמגדירים את משתנה הסביבה GOOGLE_APPLICATION_CREDENTIALS, קודם ייבדק ב-ADC המיקום שהוגדר, ורק אחר כך ייבדקו מיקומים אחרים אם יש צורך.

הגדרת ADC לסביבת פיתוח מקומית

פרטי הכניסה של המשתמש

טיפים להגדרת ADC עם פרטי הכניסה של המשתמש

פרטי כניסה לחשבון שירות

התחזות לחשבון שירות

מפתחות של חשבונות שירות

המאמרים הבאים