Autentícate en la API de Cloud Workstations

En este documento, se describe cómo autenticarte en Cloud Workstations de manera programática. Cómo que te autentiques en Cloud Workstations depende de la interfaz que uses para acceder a la API y el entorno en el que se ejecuta tu código.

Si es la primera vez que utilizas la API de Cloud Workstations, asegúrate de que primero lee las siguientes secciones:

Para obtener más información sobre la validación de Google Cloud, consulta la descripción general de la validación.

Acceso a la API

Cloud Workstations admite el acceso programático. Puedes acceder a la API de las siguientes maneras:

Bibliotecas cliente

Las bibliotecas cliente de Cloud Workstations proporcionan compatibilidad de lenguaje de alto nivel para la autenticación en Cloud Workstations programáticamente. Para autenticar las llamadas a las APIs de Google Cloud, las bibliotecas cliente admiten las credenciales predeterminadas de la aplicación (ADC). Las bibliotecas buscan credenciales en un conjunto de ubicaciones definidas y las usan para lo siguiente: autenticar solicitudes en la API. Con ADC puedes hacer que las credenciales estén disponibles para tu aplicación en una variedad de entornos tales como el desarrollo o producción local, y sin tener que modificar el código de la aplicación.

Google Cloud CLI

Cuando usas la CLI de gcloud para acceder Cloud Workstations, accede a la CLI de gcloud con un usuario que proporciona las credenciales que usan los comandos CLI de gcloud.

Si las políticas de seguridad de tu organización impiden que las cuentas de usuario tengan los permisos necesarios, puedes usar la identidad temporal como cuenta de servicio.

Para obtener más información, consulta Autentícate para usar la CLI de gcloud. Para obtener más información sobre el uso de la CLI de gcloud con Cloud Workstations, consulta lo siguiente: consulta gcloudstations.

REST

Puedes autenticarte en la API de Cloud Workstations con tus credenciales de la CLI de gcloud o con Credenciales predeterminadas de la aplicación. Si quieres obtener más información sobre la autenticación para solicitudes de REST, consulta Autentícate para usar REST. Para obtener más información sobre los tipos de credenciales, consulta Credenciales de CLI y ADC de gcloud.

Configura la autenticación para Cloud Workstations

La forma de configurar la autenticación dependerá del entorno en el que se ejecuta tu código.

Las siguientes opciones para configurar la autenticación son las más utilizadas. Para obtener más información y opciones de autenticación, consulta Métodos de autenticación.

Antes de completar estas instrucciones, debes completar la configuración básica de Cloud Workstations, como se describe en Antes de comenzar.

Para un entorno de desarrollo local

Puedes configurar las credenciales de un entorno de desarrollo local de las siguientes maneras:

Bibliotecas cliente o herramientas de terceros

Configura las credenciales predeterminadas de la aplicación (ADC) en tu entorno local:

  1. Install the Google Cloud CLI, then initialize it by running the following command: 

    gcloud init

  2. If you're using a local shell, then create local authentication credentials for your user account: 

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    Aparecerá una pantalla de acceso. Después de acceder, tus credenciales se almacenan en el archivo de credenciales local que usa ADC.

Para obtener más información sobre cómo trabajar con ADC en un entorno local, consulta Entorno de desarrollo local.

Solicitudes REST desde la línea de comandos

Cuando haces una solicitud REST desde la línea de comandos, puedes usar tus credenciales de la CLI de gcloud incluyendo gcloud auth print-access-token como parte del comando que envía la solicitud.

En el siguiente ejemplo, se enumeran las cuentas de servicio para el proyecto especificado. Puedes usar el mismo patrón para cualquier solicitud de REST.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID es el ID del proyecto de Google Cloud.

Para enviar tu solicitud, expande una de estas opciones:

 

Para obtener más información sobre la autenticación con REST y gRPC, consulta Autentica para usar REST. Para obtener información sobre la diferencia entre tus credenciales de ADC locales y tus Credenciales de CLI de gcloud; consulta Credenciales de la CLI de gcloud y credenciales de ADC.

En Google Cloud

Para autenticar una carga de trabajo que se ejecuta en Google Cloud, debes usar las credenciales de la cuenta de servicio conectada al recurso de procesamiento en el que se ejecuta tu código, como una instancia de máquina virtual (VM) de Compute Engine. Este enfoque es el método de autenticación preferido para el código que se ejecuta en un recurso de procesamiento de Google Cloud.

En la mayoría de los servicios, debes conectar la cuenta de servicio cuando crees el recurso que ejecutará el código; no puedes agregar o reemplazar la cuenta de servicio más adelante. Compute Engine es una excepción: te permite conectar una cuenta de servicio a una instancia de VM en cualquier momento.

Usa la CLI de gcloud para crear una cuenta de servicio y adjuntarla a tu recurso:

  1. Install the Google Cloud CLI, then initialize it by running the following command: 

    gcloud init

  2. Set up authentication:

    1. Create the service account: 

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Replace SERVICE_ACCOUNT_NAME with a name for the service account.

    2. To provide access to your project and your resources, grant a role to the service account: 

      gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • ROLE: the role to grant
    3. To grant another role to the service account, run the command as you did in the previous step.

    4. Grant the required role to the principal that will attach the service account to other resources. 

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • USER_EMAIL: the email address for a Google Account

  3. Crea el recurso que ejecutará tu código y conecta la cuenta de servicio a ese recurso. Por ejemplo, si usas Compute Engine:

    Create a Compute Engine instance. Configure the instance as follows:
    • Reemplaza INSTANCE_NAME por el nombre de instancia que desees.
    • Establece la marca --zone en la zona en la que deseas crear tu instancia.
    • Establece la marca --service-account en la dirección de correo electrónico de la cuenta de servicio que creaste. 
      • gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL

Para obtener más información acerca de la autenticación en las APIs de Google, consulta Métodos de autenticación.

Local o en un proveedor de servicios en la nube diferente

El método preferido para configurar la autenticación desde fuera de Google Cloud es usar la federación de identidades para cargas de trabajo. Para obtener más información, consulta Local u otro proveedor de servicios en la nube en la documentación de autenticación.

Control de acceso para Cloud Workstations

Luego de que te autentiques en Cloud Workstations, debes tener autorización para acceder recursos de Google Cloud. Cloud Workstations usa Identity and Access Management (IAM) para la autorización.

Para obtener más información sobre los roles de Cloud Workstations, consulta Control de acceso con la IAM. Para obtener más información sobre IAM y la autorización, consulta Descripción general de IAM.

¿Qué sigue?