本指南介绍如何设置 Google Cloud CLI (gcloud CLI) 以与 Trusted Cloud搭配使用。gcloud CLI 可帮助您从命令行创建和使用 Trusted Cloud资源。
如需了解有关配置和使用 gcloud CLI 的更多常规信息,请参阅 Google Cloud CLI 文档。
与 Google Cloud 中的设置差异
如果您已经熟悉如何在 Google Cloud 中设置和使用 CLI,请注意以下事项:
- 如本指南所述,如需将 gcloud CLI 与 Trusted Cloud搭配使用,还需进行一些额外的初始设置。
- Cloud Shell 在 Trusted Cloud中不可用。gcloud CLI 必须安装在本地机器上。
- 如果某项功能或产品在 Trusted Cloud中不可用,相应的 gcloud CLI 命令和参数也不可用。
准备工作
除了您自己的 Trusted Cloud登录详细信息之外,首次设置 gcloud CLI 时,您还需要以下内容。如果您不是组织的管理员,则管理员应向您提供此信息。
- 贵组织的工作负载身份池名称。
- 贵组织的身份提供方 (IdP)。
安装 gcloud CLI
按照安装 gcloud CLI 中适用于您的操作系统的说明安装 gcloud CLI。请勿继续按照初始化 gcloud CLI 的后续说明执行操作,因为您必须先按照本指南中的设置步骤操作,然后才能从命令行登录。
创建登录配置文件
如需设置对宇宙的访问权限,您需要为 gcloud CLI 创建 JSON 配置文件,包括 Trusted Cloud使用的网域以及为组织设置 IdP 的网域。
要创建登录配置文件,请按以下步骤操作:
运行以下命令:
gcloud config set universe_domain s3nsapis.fr AUDIENCE=locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID UNIVERSE_WEB_DOMAIN="cloud.s3nscloud.fr" UNIVERSE_API_DOMAIN="s3nsapis.fr" gcloud iam workforce-pools create-login-config \ $AUDIENCE \ --universe-cloud-web-domain="$UNIVERSE_WEB_DOMAIN" \ --universe-domain="$UNIVERSE_API_DOMAIN" \ --output-file="wif-login-config.json"替换以下内容:
POOL_ID:组织的工作负载身份池的唯一标识符。PROVIDER_ID:贵组织的身份提供方 (IdP)。
输出类似于以下内容:
Created login configuration file [wif-login-config.json].
创建配置文件后,只要您从同一机器登录,就无需重复此步骤。
使用 gcloud CLI 登录 Trusted Cloud
现在,您可以在每次需要登录 Trusted Cloud时使用配置文件:
如需从命令行登录,请运行以下命令:
gcloud auth login -–login-config=wif-login-config.json如果您需要使用应用默认凭据 (ADC)(运行 Terraform 模块时需要用到),请运行以下命令:
gcloud auth application-default login --login-config=wif-login-config.json
系统会打开一个网页,供您使用登录详细信息登录。然后,您可以按照其其余文档中的说明配置和使用 gcloud CLI。
后续步骤
- 如果您是首次设置 Trusted Cloud 组织的管理员,请参阅设置组织了解如何配置组织。
- 如需详细了解 Google Cloud CLI 的功能,请参阅 Google Cloud CLI 文档
- 如需详细了解如何开始使用 Trusted Cloud,请参阅 Trusted Cloud使用入门。