Kunci akun layanan p12 dan gcloud CLI

gcloud CLI memungkinkan developer menggunakan kunci pribadi untuk melakukan autentikasi dengan akun layanan, yang juga dikenal sebagai akun robot. Halaman ini menjelaskan cara membuat dan menggunakan kunci p12 akun layanan untuk Cloud de Confiance by S3NS.

Menginstal pyca/cryptography

Library pyca/cryptography (versi >= 2.5) memungkinkan gcloud CLI mendekode file kunci format p12 yang mengidentifikasi akun layanan. Karena menyertakan rutin kriptografi, pyca/cryptography tidak didistribusikan dengan gcloud CLI.

Jika sistem Anda telah menginstal pip, antarmuka command line ke Python Package Index, jalankan perintah berikut untuk menginstal pyca/cryptography. Lihat Petunjuk Penginstalan untuk mengetahui informasi selengkapnya.

python -m pip install cryptography

CLOUDSDK_PYTHON_SITEPACKAGES=1

Setelah pyca/cryptography diinstal, Anda harus menetapkan variabel lingkungan CLOUDSDK_PYTHON_SITEPACKAGES ke 1. Setelan variabel lingkungan ini memberi tahu gcloud CLI bahwa library yang akan disertakan harus dicari di luar direktori google-cloud-sdk/lib miliknya sendiri. Umumnya, Anda dapat menetapkan CLOUDSDK_PYTHON_SITEPACKAGES=1 dengan aman, tetapi jika sesuatu berhenti berfungsi, Anda mungkin perlu membatalkannya.

Membuat akun layanan

Untuk membuat akun layanan baru dan mendownload file kunci p12, ikuti langkah-langkah di Membuat kunci akun layanan.

File kunci ini harus dianggap sebagai rahasia, dan Anda harus mengambil tindakan pencegahan untuk memastikan bahwa file tersebut tidak dapat diakses oleh pihak yang tidak tepercaya. Di sistem yang mirip dengan Unix, Anda dapat memastikan bahwa file tidak terlihat oleh pengguna lain yang terhubung dari jarak jauh (selain pengguna root) dengan menggunakan perintah berikut.

chmod 0600 YOUR_KEY_FILE.p12

Menggunakan akun layanan dengan gcloud CLI

Kredensial akun layanan dapat diaktifkan menggunakan gcloud auth activate-service-account.

Untuk menggunakan akun layanan dengan gcloud CLI, jalankan gcloud auth activate-service-account dan teruskan jalur ke file kunci Anda dengan tanda --key-file yang diperlukan, lalu berikan akun sebagai argumen posisi.

Akun yang Anda gunakan harus berupa email untuk akun layanan yang tercantum di Cloud de Confiance konsol, tetapi tidak akan diverifikasi; akun tersebut hanya membantu Anda mengingat akun yang Anda gunakan.

gcloud auth activate-service-account --key-file ~/mykeys/my_key_file.p12 my_service_account@developer.s3ns-system.iam.gserviceaccount.com
Activated service account credentials for my_service_account@developer.s3ns-system.iam.gserviceaccount.com.

PERINGATAN: gcloud auth activate-service-account akan membuat salinan kunci pribadi Anda dan menyimpannya di $HOME/.config/gcloud/legacy_credentials/my_service_account@developer.s3ns-system.iam.gserviceaccount.com/private_key.p12 dan $HOME/.config/gcloud/credentials.db. File tersebut akan dibuat dengan izin 0600 (hanya baca/tulis untuk pengguna Anda sendiri), dan semua yang disimpan di $HOME/.config/gcloud harus dianggap sebagai rahasia. Untuk menghapus data autentikasi yang disimpan oleh gcloud CLI secara andal dan yakin, Anda hanya perlu menghapus $HOME/.config/gcloud. Pengelolaan file kunci yang didownload dari Cloud de Confiance konsol secara aman diserahkan kepada pengguna. Jika ragu, batalkan kunci di konsol Cloud de Confiance .

Setelah diaktifkan, akun layanan dapat dilihat dalam daftar kredensial.

gcloud auth list
        Credentialed Accounts
ACTIVE    ACCOUNT
*         my_service_account@developer.s3ns-system.iam.gserviceaccount.com

To set the active account, run:
    $ gcloud config set account my_service_account@developer.s3ns-system.iam.gserviceaccount.com

Kembali ke atas