En este documento se describe cómo autenticar y configurar el acceso a la API en una estación de trabajo. Para obtener información general sobre la Google Cloud autenticación, consulta la descripción general de la autenticación.
Autenticarse como usuario con Google Cloud CLI
Después de iniciar Cloud Workstations, puedes acceder a los servicios y a la API mediante tus cuentas de usuario a través de la CLI de gcloud
. Google Cloud
- Abre un terminal en tu estación de trabajo. La forma de abrir una ventana de terminal depende del IDE que estés usando. Por ejemplo, si usas el editor base de Cloud Workstations, abre un terminal seleccionando Terminal > Nuevo terminal o pulsando Control+Mayús+`.
- Autentícate con el siguiente comando:
gcloud auth login --no-launch-browser
- Sigue las instrucciones que te indique el comando para autenticarte en Google Cloud.
- Especifica el ID de tu proyecto Google Cloud con el siguiente comando:
gcloud config set project PROJECT_ID
-
Habilita las credenciales predeterminadas de la aplicación para poder llamar a los Google Cloud servicios.
gcloud auth application-default login
- Tus credenciales de la
gcloud
CLI ahora están guardadas y disponibles cuando uses tu estación de trabajo en sesiones futuras.
Emitir una solicitud HTTP a una estación de trabajo
Para enviar una solicitud HTTP a una estación de trabajo, necesitas un token de acceso para una cuenta que tenga el rol Usuario de Cloud Workstations en esa estación de trabajo:
- Genera un token de acceso con el método de la API generateAccessToken.
- Añade un encabezado HTTP llamado
Authorization
con el valorBearer $TOKEN
.
Conectarse a la estación de trabajo en el navegador
Al abrir la URL de tu estación de trabajo en el navegador, se autentica automáticamente mediante una redirección al servidor de la estación de trabajo y se obtiene un token de acceso generado por el método de la API generateAccessToken. De esta forma, se te redirigirá de nuevo a tu estación de trabajo y se definirá una cookie de autenticación válida para la sesión actual de la estación de trabajo.
Para omitir esta redirección, utilice el parámetro de URL _workstationAccessToken
:
- Genera un token de acceso con el método de la API generateAccessToken.
- Abre la URL de tu estación de trabajo en el navegador y añade un parámetro de URL
con el siguiente formato:
_workstationAccessToken=TOKEN
.
Define una cookie de autenticación en tu navegador que permite el acceso a la sesión de tu estación de trabajo actual. Omitir la redirección puede ser útil cuando las políticas de red bloquean el acceso al servidor de la estación de trabajo o cuando se usan iframes para mostrar la estación de trabajo en otros sitios.
Usar la identidad de una cuenta de servicio
Si las políticas de seguridad de tu organización impiden que las cuentas de usuario tengan los permisos necesarios, también puedes suplantar la identidad de una cuenta de servicio. Para suplantar la identidad de la cuenta de servicio especificada en la configuración de tu estación de trabajo, puedes especificar el campo ámbitos de la cuenta de servicio.
gcloud workstations configs create CONFIG \ --cluster=CLUSTER \ --region=REGION \ --project=PROJECT \ --service-account=SERVICE_ACCOUNT \ --service-account-scopes=https://www.googleapis.com/auth/cloud-platform
iam.serviceAccounts.actAs
en la cuenta de servicio. Para obtener más información sobre cómo especificar los permisos de la cuenta de servicio, consulta Permisos de acceso.
Siguientes pasos
- Más información sobre la compatibilidad con SSH
- Consulta una lista de parámetros de configuración de la estación de trabajo.
- Control de acceso con Gestión de Identidades y Accesos y Cloud Workstations