本頁面說明登入 gcloud CLI 的各種方式。Google Cloud CLI 是可用於 Google Cloud管理的指令列工具。大多數服務都支援 gcloud CLI。
如果您打算在本機開發環境中使用支援應用程式預設憑證 (ADC) 的用戶端程式庫或第三方開發工具,就必須在本機環境中設定 ADC。詳情請參閱「為本機開發環境設定應用程式預設憑證」。
您如何驗證及使用 gcloud CLI 取決於您執行工具的位置:
本機環境
在大多數情況下,您可以使用使用者憑證登入 gcloud CLI,但也可以使用服務帳戶。
當您在本機環境中登入 gcloud CLI 時,該工具會將存取和重新整理權杖放在您的主目錄中。任何有權存取檔案系統的使用者都可以使用這些憑證。詳情請參閱「降低 Google Cloud CLI 遭到入侵的 OAuth 權杖風險」。
下表說明登入 gcloud CLI 的選項,以及這會如何影響工具用於驗證及授權 Google API 的憑證。
| 憑證類型 | 驗證指令 | 附註 | 更多資訊 |
|---|---|---|---|
| 使用者憑證 |
可以是下列其中一項:
|
gcloud CLI 會使用您的使用者憑證,為所有 Google API 進行驗證和授權。 如要使用服務帳戶授權 Google API,請使用 服務帳戶冒用。 |
|
|
有了員工身分聯盟,由 Google 以外的識別資訊提供者管理的使用者就能存取 Google Cloud 資源。 | ||
| 服務帳戶 |
gcloud auth login --cred-file=WORKLOAD_IDENTITY_FEDERATION_CREDENTIAL_FILE
|
Workload Identity 聯盟可讓在 Google Cloud 外執行的工作負載存取 Google Cloud 資源。 | 驗證工作負載 |
gcloud auth login --cred-file=SERVICE_ACCT_KEY
|
我們不建議使用這種方法,因為使用服務帳戶金鑰會增加風險。 如要使用服務帳戶授權 Google API,請使用使用者憑證登入 gcloud CLI,然後使用 服務帳戶冒用。 |
Cloud Shell
使用 Cloud Shell 時,您不需要登入 gcloud CLI,但必須先授權使用您的帳戶,才能透過 Cloud Shell 使用任何開發工具。完成後,gcloud CLI 就會使用您的使用者憑證存取 Google API。
詳情請參閱「使用 Cloud Shell 授權」。
Google Cloud 運算資源
在 Google Cloud 運算資源 (例如 Compute Engine 虛擬機器) 上使用 gcloud CLI 時,您不需要初始化或登入 gcloud CLI,因為它會使用中繼資料伺服器,從託管運算資源取得憑證和設定資訊。
| 憑證類型 | 驗證指令 | 附註 | 更多資訊 |
|---|---|---|---|
| 服務帳戶 | 不適用 | gcloud CLI 會使用附加至運算資源的服務帳戶,為所有 Google API 進行驗證和授權。 | 為已附加服務帳戶的資源設定 ADC |
gcloud CLI 驗證設定和 ADC 設定
登入 gcloud CLI 時,您會使用 gcloud auth login 指令驗證 gcloud CLI 的使用者。gcloud CLI 會使用該主體進行驗證和授權,以便管理 Google Cloud 資源和服務。這是您的 gcloud CLI 驗證設定。
使用 gcloud CLI 設定 ADC 時,請使用 gcloud auth application-default login 指令。這個指令會使用您提供的授權主體,為本機環境設定 ADC。這是您的 ADC 設定。
gcloud CLI 驗證設定與 ADC 設定不同。可以使用相同或不同的使用者。gcloud CLI 不會使用 ADC 存取 Google Cloud 資源。
下表列出這兩個指令及其功能:
| 指令 | 說明 |
|---|---|
gcloud auth login
|
接受用於驗證並授權存取 Google Cloud 服務的憑證。 |
gcloud auth application-default login
|
根據您提供給指令的憑證,產生本機 ADC 檔案。 |
一般來說,您會使用相同的帳戶登入 gcloud CLI 並設定 ADC,但如有需要,也可以使用不同的帳戶。
後續步驟
- 進一步瞭解 ADC 如何尋找憑證。
- 驗證 Cloud 用戶端程式庫。
- 探索驗證方法。