本文將說明如何在工作站中驗證及設定 API 存取權。如要瞭解 Google Cloud 驗證的一般資訊,請參閱驗證總覽。
使用 Google Cloud CLI 以使用者身分進行驗證
啟動 Cloud Workstations 後,您可以透過 gcloud CLI 使用使用者帳戶存取 Google Cloud 服務和 API。
- 在工作站中開啟終端機。開啟終端機視窗的方式取決於您使用的 IDE。舉例來說,如果您使用 Cloud Workstations 的基本編輯器,請依序選取「Terminal」>「New Terminal」,或按下 Control + Shift +` 來開啟終端機。
- 使用下列指令進行驗證:
gcloud auth login --no-launch-browser
- 按照指令提供的操作說明,驗證 Google Cloud。
- 使用下列指令指定 Google Cloud 專案 ID:
gcloud config set project PROJECT_ID
-
啟用應用程式預設憑證,以便呼叫 Google Cloud 服務。
gcloud auth application-default login
gcloudCLI 憑證現在已儲存,並可在日後的工作階段中使用。
向工作站發出 HTTP 要求
如要向工作站發出 HTTP 要求,您需要具備該工作站的 Cloud Workstations User 角色的帳戶存取權杖:
- 使用 generateAccessToken API 方法產生存取權杖。
- 新增名為
Authorization的 HTTP 標頭,並將值設為Bearer $TOKEN。
在瀏覽器中連線至工作站
在瀏覽器中開啟工作站網址後,系統會自動透過重新導向至工作站伺服器進行驗證,並擷取由 generateAccessToken API 方法產生的存取權杖。這會將您重新導向至工作站,並設定適用於目前工作站工作階段的驗證 Cookie。
如要略過這項重新導向,請使用 _workstationAccessToken 網址參數:
- 使用 generateAccessToken API 方法產生存取權杖。
- 在瀏覽器中開啟工作站網址,然後附加以下格式的網址參數:
_workstationAccessToken=TOKEN。
這會在瀏覽器中設定驗證 Cookie,允許存取目前的工作站工作階段。當網路政策封鎖工作站伺服器的存取權,或是使用 iframe 在其他網站上顯示工作站時,略過重新導向功能可能會很有幫助。
模擬服務帳戶
如果貴機構的安全政策禁止使用者帳戶取得必要權限,您也可以冒用服務帳戶。如要模擬工作站設定中指定的 服務帳戶,您可以指定 服務帳戶範圍欄位。
gcloud workstations configs create CONFIG \
--cluster=CLUSTER \
--region=REGION \
--project=PROJECT \
--service-account=SERVICE_ACCOUNT \
--service-account-scopes=https://www.googleapis.com/auth/cloud-platform
iam.serviceAccounts.actAs 權限。如要進一步瞭解如何指定服務帳戶的範圍,請參閱「存取權範圍」。
後續步驟
- 進一步瞭解安全殼層支援。
- 請參閱工作站設定參數清單。
- 使用 Identity and Access Management 控管存取權和 Cloud Workstations