En este documento, se describe cómo acceder a Google Cloud CLI con tu identidad federada a través de un acceso basado en el navegador.
Antes de comenzar
Asegúrate de que tu administrador haya configurado la federación de Workforce Identity.
Asegúrate de tener información que respalde una de las siguientes opciones. Tu administrador puede proporcionarte esta información.
IDs del grupo y del proveedor de identidades de personal: Un ID del grupo de identidades de personal y un ID del proveedor del grupo de identidades de personal que puedes usar para crear un archivo de configuración de acceso.
Archivo de configuración existente: Es la ruta de acceso a un archivo de configuración de acceso existente que puedes usar para acceder a la CLI de gcloud.
Contenido del archivo de configuración: Es el contenido del archivo de configuración que puedes guardar en un archivo de configuración.
Obtén un archivo de configuración de acceso
En esta sección, se describe cómo obtener un archivo de configuración de acceso que puedes usar para acceder a gcloud CLI.
Crea un archivo de configuración de acceso
Puedes usar el ID del grupo de identidades para cargas de trabajo y el ID del proveedor del grupo de identidades para cargas de trabajo para crear un archivo de configuración de acceso.
Para crear el archivo de configuración de acceso, ejecuta el siguiente comando. De manera opcional, puedes activar el archivo como predeterminado para gcloud CLI agregando la marca --activate.
Luego, puedes ejecutar gcloud auth login sin especificar la ruta de acceso al archivo de configuración cada vez.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Reemplaza lo siguiente:
WORKFORCE_POOL_ID: el ID del grupo de personalPROVIDER_ID: el ID del proveedorLOGIN_CONFIG_FILE_PATH: la ruta de acceso a un archivo de configuración que especifiques, por ejemplo,login.json
El archivo contiene los extremos que usa gcloud CLI para habilitar el flujo de autenticación basado en el navegador y establecer el público en el IdP que se configuró en el proveedor del grupo de identidades de personal. El archivo no contiene información confidencial.
El resultado es similar al siguiente:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect", }
Para evitar que
gcloud auth login use este archivo de configuración automáticamente, puedes anularlo con gcloud config unset auth/login_config_file.
Ahora puedes acceder a la gcloud CLI.
Cómo guardar un archivo de configuración de acceso
Puedes guardar el contenido del archivo de configuración de credenciales que se te proporcionó en un archivo. Anota la ruta de acceso y, luego, accede a la CLI de gcloud.
Accede a gcloud CLI
Para acceder a la gcloud CLI con un archivo de configuración de acceso, ejecuta el siguiente comando:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Reemplaza LOGIN_CONFIG_FILE_PATH por la ruta de acceso al archivo de configuración de acceso, si no activaste este archivo antes.
Sin embargo, si ya activaste este archivo con la marca --activate, no es necesario que lo especifiques de nuevo.
En su lugar, ejecuta el siguiente comando:
gcloud auth login