為 Trusted Cloud 設定 Google Cloud CLI

本指南提供設定 Google Cloud CLI (gcloud CLI) 的操作說明,以便與 Trusted Cloud搭配使用。gcloud CLI 可協助您透過指令列建立及使用 Trusted Cloud資源。

如要進一步瞭解如何設定及使用 gcloud CLI,請參閱 Google Cloud CLI 說明文件

與 Google Cloud 中設定的差異

如果您已熟悉如何設定並使用 Google Cloud 的 CLI,請注意以下事項:

  • 如本指南所述,您必須先完成一些額外的初始設定,才能使用 gcloud CLI 搭配 Trusted Cloud。
  • Trusted Cloud不支援 Cloud Shell。您必須在本機安裝 gcloud CLI。
  • 如果 Trusted Cloud中沒有某項功能或產品,則相應的 gcloud CLI 指令和參數也無法使用。

事前準備

除了 Trusted Cloud的登入詳細資料之外,您還需要以下資訊,才能首次設定 gcloud CLI。如果您不是貴機構的管理員,管理員應會提供這項資訊。

  • 貴機構的工作負載身分識別資訊集區名稱
  • 貴機構的識別資訊提供者 (IdP)。

安裝 gcloud CLI

按照「安裝 gcloud CLI」一文中適用於您作業系統的指示,安裝 gcloud CLI。請勿繼續執行 gcloud CLI 初始化後續操作說明,因為您必須先按照本指南中的設定步驟操作,才能透過指令列登入。

建立登入設定檔

如要設定對整個宇宙的存取權,您需要為 gcloud CLI 建立 JSON 設定檔,其中包含 Trusted Cloud和貴機構所設定的 IdP 所使用的網域。

如要建立登入設定檔,請按照下列步驟操作:

  • 執行下列指令:

    gcloud config set universe_domain s3nsapis.fr
    
    AUDIENCE=locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID
    UNIVERSE_WEB_DOMAIN="cloud.s3nscloud.fr"
    UNIVERSE_API_DOMAIN="s3nsapis.fr"
    
    gcloud iam workforce-pools create-login-config \
    $AUDIENCE \
    --universe-cloud-web-domain="$UNIVERSE_WEB_DOMAIN" \
    --universe-domain="$UNIVERSE_API_DOMAIN" \
    --output-file="wif-login-config.json"
    

    更改下列內容:

    • POOL_ID:貴機構工作負載身分池的專屬 ID。
    • PROVIDER_ID:貴機構的識別資訊提供者 (IdP)。

輸出結果會與下列內容相似:

Created login configuration file [wif-login-config.json].

建立設定檔後,只要您是從相同裝置登入,就不需要重複這個步驟。

使用 gcloud CLI 登入 Trusted Cloud

您現在可以在每次需要登入 Trusted Cloud時使用設定檔:

  • 如要透過指令列登入,請執行下列指令:

    gcloud auth login -–login-config=wif-login-config.json
    
  • 如果您需要使用應用程式預設憑證 (ADC) (執行 Terraform 模組時必須使用),請執行下列指令:

    gcloud auth application-default login --login-config=wif-login-config.json
    

系統會開啟網頁,讓您使用登入詳細資料登入。接著,您可以繼續設定及使用 gcloud CLI,如其說明文件的其餘部分所述。

後續步驟