本指南提供設定 Google Cloud CLI (gcloud CLI) 的操作說明,以便與 Trusted Cloud搭配使用。gcloud CLI 可協助您透過指令列建立及使用 Trusted Cloud資源。
如要進一步瞭解如何設定及使用 gcloud CLI,請參閱 Google Cloud CLI 說明文件。
與 Google Cloud 中設定的差異
如果您已熟悉如何設定並使用 Google Cloud 的 CLI,請注意以下事項:
- 如本指南所述,您必須先完成一些額外的初始設定,才能使用 gcloud CLI 搭配 Trusted Cloud。
- Trusted Cloud不支援 Cloud Shell。您必須在本機安裝 gcloud CLI。
- 如果 Trusted Cloud中沒有某項功能或產品,則相應的 gcloud CLI 指令和參數也無法使用。
事前準備
除了 Trusted Cloud的登入詳細資料之外,您還需要以下資訊,才能首次設定 gcloud CLI。如果您不是貴機構的管理員,管理員應會提供這項資訊。
- 貴機構的工作負載身分識別資訊集區名稱。
- 貴機構的識別資訊提供者 (IdP)。
安裝 gcloud CLI
按照「安裝 gcloud CLI」一文中適用於您作業系統的指示,安裝 gcloud CLI。請勿繼續執行 gcloud CLI 初始化後續操作說明,因為您必須先按照本指南中的設定步驟操作,才能透過指令列登入。
建立登入設定檔
如要設定對整個宇宙的存取權,您需要為 gcloud CLI 建立 JSON 設定檔,其中包含 Trusted Cloud和貴機構所設定的 IdP 所使用的網域。
如要建立登入設定檔,請按照下列步驟操作:
執行下列指令:
gcloud config set universe_domain s3nsapis.fr AUDIENCE=locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID UNIVERSE_WEB_DOMAIN="cloud.s3nscloud.fr" UNIVERSE_API_DOMAIN="s3nsapis.fr" gcloud iam workforce-pools create-login-config \ $AUDIENCE \ --universe-cloud-web-domain="$UNIVERSE_WEB_DOMAIN" \ --universe-domain="$UNIVERSE_API_DOMAIN" \ --output-file="wif-login-config.json"
更改下列內容:
POOL_ID
:貴機構工作負載身分池的專屬 ID。PROVIDER_ID
:貴機構的識別資訊提供者 (IdP)。
輸出結果會與下列內容相似:
Created login configuration file [wif-login-config.json].
建立設定檔後,只要您是從相同裝置登入,就不需要重複這個步驟。
使用 gcloud CLI 登入 Trusted Cloud
您現在可以在每次需要登入 Trusted Cloud時使用設定檔:
如要透過指令列登入,請執行下列指令:
gcloud auth login -–login-config=wif-login-config.json
如果您需要使用應用程式預設憑證 (ADC) (執行 Terraform 模組時必須使用),請執行下列指令:
gcloud auth application-default login --login-config=wif-login-config.json
系統會開啟網頁,讓您使用登入詳細資料登入。接著,您可以繼續設定及使用 gcloud CLI,如其說明文件的其餘部分所述。
後續步驟
- 如果您是管理員,並要首次設定 Trusted Cloud 機構,請參閱「設定機構」一文,瞭解如何設定機構。
- 如要進一步瞭解 Google Cloud CLI 的功能,請參閱 Google Cloud CLI 說明文件
- 如要進一步瞭解如何開始使用 Trusted Cloud,請參閱「開始使用 Trusted Cloud」。