Esta página foi traduzida pela API Cloud Translation.

Configurar o ADC para um local ou outro provedor de nuvem

Se o aplicativo estiver sendo executado fora do Trusted Cloud, será necessário fornecer credenciais reconhecidas pelo Trusted Cloud para usar os serviços do Trusted Cloud .

Federação de identidade da carga de trabalho

A maneira mais comum de autenticar com o Trusted Cloud usando credenciais de um IdP externo é usar a federação de identidade da carga de trabalho; você cria um arquivo de configuração de credenciais e define a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS para apontar para ele. Essa abordagem é mais segura do que criar uma chave de conta de serviço.

Para receber ajuda com a configuração da federação de identidade da carga de trabalho para o ADC, consulte Federação de identidade da carga de trabalho com outras nuvens.

Chave da conta de serviço

Se não for possível configurar a federação de identidade da carga de trabalho, crie uma conta de serviço, conceda a ela os papéis do IAM necessários ao aplicativo e crie uma chave para a conta de serviço.

Observação:as chaves de conta de serviço poderão causar problemas de segurança se não forem gerenciadas corretamente. Sempre que possível, escolha uma alternativa mais segura do que as chaves de conta de serviço. Se você precisar autenticar com uma chave de conta de serviço, será responsável pela segurança da chave privada e por outras operações descritas em Práticas recomendadas para gerenciar chaves de contas de serviço. Se não for possível criar uma chave de conta de serviço, a criação pode ser desativada para sua organização. Para mais informações, consulte Gerenciar recursos da organização com segurança por padrão.

Se você adquiriu a chave de conta de serviço de uma fonte externa, valide-a antes de usar. Para mais informações, consulte Requisitos de segurança para credenciais de fontes externas.

Para criar uma chave de conta de serviço e disponibilizá-la para o ADC, faça o seguinte:

Crie uma conta de serviço com os papéis de que seu aplicativo precisa e uma chave para essa conta de serviço. Para fazer isso, siga as instruções em Como criar uma chave de conta de serviço.
Set the environment variable GOOGLE_APPLICATION_CREDENTIALS to the path of the JSON file that contains your credentials. This variable applies only to your current shell session, so if you open a new session, set the variable again.
Example: Linux or macOS
```
export GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"
```
Replace KEY_PATH with the path of the JSON file that contains your credentials.

For example:
```
export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"
```
Example: Windows

For PowerShell:
```
$env:GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"
```
Replace KEY_PATH with the path of the JSON file that contains your credentials.

For example:
```
$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"
```
For command prompt:
```
set GOOGLE_APPLICATION_CREDENTIALS=KEY_PATH
```
Replace KEY_PATH with the path of the JSON file that contains your credentials.

Observação:quando você define a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS, o ADC verifica esse local primeiro e, depois, outros locais apenas se necessário.

A seguir

Saiba mais sobre a federação de identidade da carga de trabalho.
Entenda as práticas recomendadas para usar chaves de conta de serviço.
Saiba mais sobre como o ADC encontra credenciais.
Conheça os métodos de autenticação.