为 Trusted Cloud 设置 Google Cloud CLI

本指南介绍如何设置 Google Cloud CLI (gcloud CLI) 以与 Trusted Cloud搭配使用。gcloud CLI 可帮助您从命令行创建和使用 Trusted Cloud资源。

如需了解有关配置和使用 gcloud CLI 的更多常规信息,请参阅 Google Cloud CLI 文档

与 Google Cloud 中的设置差异

如果您已经熟悉如何在 Google Cloud 中设置和使用 CLI,请注意以下事项:

  • 如本指南所述,如需将 gcloud CLI 与 Trusted Cloud搭配使用,还需进行一些额外的初始设置。
  • Cloud Shell 在 Trusted Cloud中不可用。gcloud CLI 必须安装在本地机器上。
  • 如果某项功能或产品在 Trusted Cloud中不可用,相应的 gcloud CLI 命令和参数也不可用。

准备工作

除了您自己的 Trusted Cloud登录详细信息之外,首次设置 gcloud CLI 时,您还需要以下内容。如果您不是组织的管理员,则管理员应向您提供此信息。

  • 贵组织的工作负载身份池名称
  • 贵组织的身份提供方 (IdP)。

安装 gcloud CLI

按照安装 gcloud CLI 中适用于您的操作系统的说明安装 gcloud CLI。请勿继续按照初始化 gcloud CLI 的后续说明执行操作,因为您必须先按照本指南中的设置步骤操作,然后才能从命令行登录。

创建登录配置文件

如需设置对宇宙的访问权限,您需要为 gcloud CLI 创建 JSON 配置文件,包括 Trusted Cloud使用的网域以及为组织设置 IdP 的网域。

要创建登录配置文件,请按以下步骤操作:

  • 运行以下命令:

    gcloud config set universe_domain s3nsapis.fr
    
    AUDIENCE=locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID
    UNIVERSE_WEB_DOMAIN="cloud.s3nscloud.fr"
    UNIVERSE_API_DOMAIN="s3nsapis.fr"
    
    gcloud iam workforce-pools create-login-config \
    $AUDIENCE \
    --universe-cloud-web-domain="$UNIVERSE_WEB_DOMAIN" \
    --universe-domain="$UNIVERSE_API_DOMAIN" \
    --output-file="wif-login-config.json"
    

    替换以下内容:

    • POOL_ID:组织的工作负载身份池的唯一标识符。
    • PROVIDER_ID:贵组织的身份提供方 (IdP)。

输出类似于以下内容:

Created login configuration file [wif-login-config.json].

创建配置文件后,只要您从同一机器登录,就无需重复此步骤。

使用 gcloud CLI 登录 Trusted Cloud

现在,您可以在每次需要登录 Trusted Cloud时使用配置文件:

  • 如需从命令行登录,请运行以下命令:

    gcloud auth login -–login-config=wif-login-config.json
    
  • 如果您需要使用应用默认凭据 (ADC)(运行 Terraform 模块时需要用到),请运行以下命令:

    gcloud auth application-default login --login-config=wif-login-config.json
    

系统会打开一个网页,供您使用登录详细信息登录。然后,您可以按照其其余文档中的说明配置和使用 gcloud CLI。

后续步骤