In diesem Dokument wird beschrieben, wie Sie sich mit Ihrer föderierten Identität über eine browserbasierte Anmeldung in der Google Cloud CLI anmelden.
Hinweise
Ihr Administrator muss die Workforce Identity-Föderation eingerichtet und konfiguriert haben.
Sie benötigen Informationen, die eine der folgenden Optionen unterstützen. Diese Informationen kann Ihnen Ihr Administrator zur Verfügung stellen.
Workforce Identity-Pool- und Anbieter-IDs: Eine Workforce Identity-Pool-ID und eine Workforce Identity-Pool-Anbieter-ID, mit denen Sie eine Anmeldekonfigurationsdatei erstellen können.
Vorhandene Konfigurationsdatei: Ein Pfad zu einer vorhandenen Konfigurationsdatei für die Anmeldung, mit der Sie sich in der gcloud CLI anmelden können.
Inhalt der Konfigurationsdatei: Inhalt der Konfigurationsdatei, den Sie in einer Konfigurationsdatei speichern können.
Konfigurationsdatei für die Anmeldung abrufen
In diesem Abschnitt wird beschrieben, wie Sie eine Anmeldekonfigurationsdatei abrufen, mit der Sie sich in der gcloud CLI anmelden können.
Konfigurationsdatei für die Anmeldung erstellen
Sie können die ID des Workload Identity-Pools und die ID des Anbieters des Workload Identity-Pools verwenden, um eine Anmeldekonfigurationsdatei zu erstellen.
Mit dem folgenden Befehl erstellen Sie die Konfigurationsdatei für die Anmeldung. Sie können die Datei optional als Standarddatei für die gcloud CLI aktivieren, indem Sie das Flag --activate hinzufügen.
Sie können dann gcloud auth login ausführen, ohne jedes Mal den Pfad zur Konfigurationsdatei anzugeben.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Ersetzen Sie Folgendes:
WORKFORCE_POOL_ID: die ID des Workforce-PoolsPROVIDER_ID: die Anbieter-IDLOGIN_CONFIG_FILE_PATH: der Pfad zu einer von Ihnen angegebenen Konfigurationsdatei, z. B.login.json
Die Datei enthält die Endpunkte, die von der gcloud CLI verwendet werden, um den browserbasierten Authentifizierungsvorgang zu aktivieren und die Zielgruppe auf den Identitätsanbieter festzulegen, der im Anbieter des Mitarbeiteridentitätspools konfiguriert wurde. Die Datei enthält keine vertraulichen Daten.
Die Ausgabe sieht dann ungefähr so aus:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://googleapis.com/v1/introspect", }
Sie können sich jetzt in der gcloud CLI anmelden.
Konfigurationsdatei für die Anmeldung speichern
Sie können den Inhalt der Anmeldedatenkonfigurationsdatei, die Sie erhalten haben, in einer Datei speichern. Notieren Sie sich den Pfad und melden Sie sich in der gcloud CLI an.
In der gcloud CLI anmelden
Wenn Sie sich mit einer Anmeldekonfigurationsdatei in der gcloud CLI anmelden möchten, führen Sie den folgenden Befehl aus:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Ersetzen Sie LOGIN_CONFIG_FILE_PATH durch den Pfad zur Konfigurationsdatei für die Anmeldung. Mit diesem Befehl wird die Konfiguration aktiviert, sodass Sie gcloud auth login ausführen können, ohne jedes Mal die Anmeldekonfigurationsdatei anzugeben. Verwenden Sie --no-activate, um die Aktivierung zu deaktivieren.