Ce document explique comment se connecter à la Google Cloud CLI avec votre identité fédérée à l'aide d'une connexion basée sur un navigateur.
Avant de commencer
Assurez-vous que votre administrateur a configuré la fédération d'identité de personnel.
Assurez-vous de disposer d'informations permettant de justifier l'une des options suivantes. Votre administrateur peut vous fournir ces informations.
ID du pool et du fournisseur d'identités de personnel : ID du pool d'identités de personnel et ID du fournisseur de pools d'identités de personnel que vous pouvez utiliser pour créer un fichier de configuration de connexion.
Fichier de configuration existant : chemin d'accès à un fichier de configuration de connexion existant que vous pouvez utiliser pour vous connecter à gcloud CLI.
Contenu du fichier de configuration : contenu du fichier de configuration que vous pouvez enregistrer dans un fichier de configuration.
Obtenir un fichier de configuration de connexion
Cette section explique comment obtenir un fichier de configuration de connexion que vous pouvez utiliser pour vous connecter à la gcloud CLI.
Créer un fichier de configuration de connexion
Vous pouvez utiliser l'ID du pool d'identités de charge de travail et l'ID du fournisseur de pool d'identités de charge de travail pour créer un fichier de configuration de connexion.
Pour créer le fichier de configuration de connexion, exécutez la commande suivante. Vous pouvez éventuellement définir par défaut l'activation du fichier pour gcloud CLI en ajoutant l'option --activate.
Vous pouvez ensuite exécuter gcloud auth login sans spécifier le chemin d'accès au fichier de configuration à chaque fois.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Remplacez les éléments suivants :
WORKFORCE_POOL_ID: ID du pool de personnelPROVIDER_ID: ID du fournisseurLOGIN_CONFIG_FILE_PATH: chemin d'accès à un fichier de configuration que vous spécifiez, par exemplelogin.json
Le fichier contient les points de terminaison utilisés par gcloud CLI pour activer le flux d'authentification via le navigateur et définir l'audience sur le fournisseur d'identité configuré dans le fournisseur de pool d'identités de personnel. Votre fichier ne contient aucune information confidentielle.
La sortie ressemble à ceci :
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.s3nscloud.fr/authorize", "token_url": "https://sts.s3nsapis.fr/v1/oauthtoken", "token_info_url": "https://sts.s3nsapis.fr/v1/introspect", }
Pour empêcher
gcloud auth login d'utiliser automatiquement ce fichier de configuration, vous pouvez le désactiver en exécutant gcloud config unset auth/login_config_file.
Vous pouvez désormais vous connecter à la gcloud CLI.
Enregistrer un fichier de configuration de connexion
Vous pouvez enregistrer dans un fichier le contenu du fichier de configuration des identifiants qui vous a été fourni. Notez le chemin d'accès, puis connectez-vous à la gcloud CLI.
Se connecter à la gcloud CLI
Pour vous connecter à la gcloud CLI avec un fichier de configuration de connexion, exécutez la commande suivante :
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Remplacez LOGIN_CONFIG_FILE_PATH par le chemin d'accès au fichier de configuration de connexion, si vous ne l'avez pas encore activé.
Toutefois, si vous avez déjà activé ce fichier à l'aide de l'option --activate, vous n'avez pas besoin de le spécifier à nouveau.
Exécutez plutôt la commande suivante :
gcloud auth login