Ce document explique comment vous connecter à la Google Cloud CLI avec votre identité fédérée à l'aide d'une connexion basée sur un navigateur.
Avant de commencer
Assurez-vous que votre administrateur a configuré la fédération des identités des employés.
Assurez-vous de disposer d'informations qui correspondent à l'une des options suivantes. Votre administrateur peut vous fournir ces informations.
ID de pool d'identités de personnel et de fournisseur: ID de pool d'identités de personnel et d'ID de fournisseur de pool d'identités de personnel que vous pouvez utiliser pour créer un fichier de configuration de connexion.
Fichier de configuration existant: chemin d'accès à un fichier de configuration de connexion existant que vous pouvez utiliser pour vous connecter à la CLI gcloud.
Contenu du fichier de configuration: contenu du fichier de configuration que vous pouvez enregistrer dans un fichier de configuration.
Obtenir un fichier de configuration de connexion
Cette section explique comment obtenir un fichier de configuration de connexion que vous pouvez utiliser pour vous connecter à la gcloud CLI.
Créer un fichier de configuration de connexion
Vous pouvez utiliser l'ID du pool d'identités de charge de travail et l'ID du fournisseur de pool d'identités de charge de travail pour créer un fichier de configuration de connexion.
Pour créer le fichier de configuration de connexion, exécutez la commande suivante. Vous pouvez éventuellement définir par défaut l'activation du fichier pour gcloud CLI en ajoutant l'option --activate.
Vous pouvez ensuite exécuter gcloud auth login sans spécifier le chemin d'accès au fichier de configuration à chaque fois.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Remplacez les éléments suivants :
WORKFORCE_POOL_ID: ID du pool de personnelPROVIDER_ID: ID du fournisseurLOGIN_CONFIG_FILE_PATH: chemin d'accès à un fichier de configuration que vous spécifiez, par exemplelogin.json
Le fichier contient les points de terminaison utilisés par gcloud CLI pour activer le flux d'authentification via le navigateur et définir l'audience sur le fournisseur d'identité configuré dans le fournisseur de pool d'identités de personnel. Votre fichier ne contient aucune information confidentielle.
La sortie ressemble à ceci :
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://googleapis.com/v1/introspect", }
Vous pouvez désormais vous connecter à la gcloud CLI.
Enregistrer un fichier de configuration de connexion
Vous pouvez enregistrer le contenu du fichier de configuration des identifiants qui vous a été fourni dans un fichier. Notez le chemin d'accès, puis connectez-vous à la gcloud CLI.
Se connecter à la gcloud CLI
Pour vous connecter à la gcloud CLI à l'aide d'un fichier de configuration de connexion, exécutez la commande suivante:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Remplacez LOGIN_CONFIG_FILE_PATH par le chemin d'accès au fichier de configuration de connexion. Cette commande active la configuration afin que vous puissiez exécuter gcloud auth login sans spécifier le fichier de configuration de connexion à chaque fois. Pour désactiver l'activation, utilisez --no-activate.