En este documento, se describe cómo acceder a Google Cloud CLI con tu identidad federada mediante un acceso basado en el navegador.
Antes de comenzar
Asegúrate de que tu administrador haya configurado la federación de Workforce Identity.
Asegúrate de tener información que respalde una de las siguientes opciones. Tu administrador puede proporcionarte esta información.
IDs de grupo de identidad del personal y proveedor: Un ID de grupo de identidad del personal y un ID de proveedor de grupo de identidad del personal que puedes usar para crear un archivo de configuración de acceso.
Archivo de configuración existente: Es una ruta de acceso a un archivo de configuración de acceso existente que puedes usar para acceder a gcloud CLI.
Contenido del archivo de configuración: Es el contenido del archivo de configuración que puedes guardar en un archivo de configuración.
Obtén un archivo de configuración de acceso
En esta sección, se describe cómo obtener un archivo de configuración de acceso que puedes usar para acceder a gcloud CLI.
Crea un archivo de configuración de acceso
Puedes usar el ID del grupo de identidades para cargas de trabajo y el ID del proveedor del grupo de identidades para cargas de trabajo para crear un archivo de configuración de acceso.
Para crear el archivo de configuración de acceso, ejecuta el siguiente comando. De manera opcional, puedes activar el archivo como predeterminado para la CLI de gcloud agregando la marca --activate.
Luego, puedes ejecutar gcloud auth login sin especificar la ruta de acceso del archivo de configuración cada vez.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Reemplaza lo siguiente:
WORKFORCE_POOL_ID: el ID del grupo de personalPROVIDER_ID: el ID del proveedorLOGIN_CONFIG_FILE_PATH: La ruta de acceso a un archivo de configuración que especifiques, por ejemplo,login.json
El archivo contiene los extremos que usa la gcloud CLI para habilitar el flujo de autenticación basado en el navegador y establecer el público en el IdP que se configuró en el proveedor del grupo de identidad de personal. El archivo no contiene información confidencial.
El resultado es similar al siguiente:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://googleapis.com/v1/introspect", }
Para evitar que
gcloud auth login use este archivo de configuración automáticamente, puedes ejecutar gcloud config unset auth/login_config_file para anularlo.
Ahora puedes acceder a gcloud CLI.
Guarda un archivo de configuración de acceso
Puedes guardar el contenido del archivo de configuración de credenciales que se te proporcionó en un archivo. Anota la ruta de acceso y, luego, accede a la CLI de gcloud.
Accede a gcloud CLI
Para acceder a la gcloud CLI con un archivo de configuración de acceso, ejecuta el siguiente comando:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Reemplaza LOGIN_CONFIG_FILE_PATH por la ruta de acceso al archivo de configuración de acceso si no lo activaste antes.
Sin embargo, si ya activaste este archivo con la marca --activate, no es necesario que vuelvas a especificarlo.
En su lugar, ejecuta el siguiente comando:
gcloud auth login