Fazer login na CLI gcloud com sua identidade federada

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Este documento descreve como fazer login na CLI do Google Cloud com sua identidade federada usando um login baseado em navegador.

Antes de começar

1. Verifique se o administrador configurou a Federação de identidade da força de trabalho.

2. Verifique se você tem informações que são compatíveis com uma das opções a seguir. Seu administrador pode fornecer essas informações.

   • IDs de pool de identidade e provedor da força de trabalho: um ID de pool de identidade da força de trabalho e um ID de provedor de pool de identidade da força de trabalho que podem ser usados para criar um arquivo de configuração de login.

   • Arquivo de configuração atual: um caminho para um arquivo de configuração de login atual que pode ser usado para fazer login na CLI gcloud.

   • Conteúdo do arquivo de configuração: conteúdo que pode ser salvo em um arquivo de configuração.

Receber um arquivo de configuração de login

Esta seção descreve como conseguir um arquivo de configuração de login que pode ser usado para fazer login na CLI gcloud.

Criar um arquivo de configuração de login

É possível usar o ID do pool de identidade da carga de trabalho e o ID do provedor do pool de identidade da carga de trabalho para criar um arquivo de configuração de login.

Para criar o arquivo de configuração de login, execute o comando a seguir. Também é possível ativar o arquivo como padrão para a CLI gcloud adicionando a flag --activate. Em seguida, execute gcloud auth login sem especificar o caminho do arquivo de configuração toda vez.

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Substitua:

• WORKFORCE_POOL_ID: o ID do pool de colaboradores
• PROVIDER_ID: o ID do provedor
• LOGIN_CONFIG_FILE_PATH: o caminho para um arquivo de configuração especificado. Por exemplo, login.json.

O arquivo contém os endpoints usados pela CLI gcloud para ativar o fluxo de autenticação baseado em navegador e definir o público como o IdP configurado no provedor do pool de identidade dos colaboradores. O arquivo não contém informações confidenciais.

A saída será assim:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://googleapis.com/v1/introspect",
}

Agora você pode fazer login na CLI do gcloud.

Salvar um arquivo de configuração de login

É possível salvar o conteúdo do arquivo de configuração de credenciais que foi fornecido em um arquivo. Anote o caminho e faça login na CLI gcloud.

Faça login no gcloud CLI

Para fazer login na CLI gcloud com um arquivo de configuração de login, execute o seguinte comando:

gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"

Substitua LOGIN_CONFIG_FILE_PATH pelo caminho para o arquivo de configuração de login, se você não tiver ativado esse arquivo antes. No entanto, se você já tiver ativado esse arquivo usando a flag --activate, não será necessário especificar o arquivo novamente. Em vez disso, execute o seguinte comando:

gcloud auth login