Ce guide explique comment configurer l’authentification et l’autorisation pour le serveur.\naux applications de production de serveur. Authentification se réfère au processus de\ndéterminer l'identité d'un client. Autorisation se réfère au processus de\ndéterminer quelles autorisations un client authentifié a pour un particulier\nRessource. Autrement dit, l'authentification identifie votre identité et l'autorisation\ndétermine ce que vous pouvez faire. Pour plus d'informations sur l'authentification prise en charge\nméthodes et comment les choisir, voir Vue d'ensemble de l'authentification.\nGoogle utilise des informations d'identification pour identifier votre application pour le quota et la facturation.\nVos identifiants sont également utilisés pour autoriser l’accès aux API GCP,\nressources et fonctionnalités.\nFournir des informations d'identification pour votre application\nRecherche automatique d'informations d'identification\nLes bibliothèques clientes GCP utilisent un\nstratégie appelée Application Default Credentials (ADC) pour rechercher\nles informations d'identification de votre application. Lorsque votre code utilise une bibliothèque cliente, le\nstratégie vérifie vos informations d'identification dans l'ordre suivant:
"},{"id":"text-2","type":"text","heading":"","plain_text":"Tout d'abord, ADC vérifie si la variable d'environnement\nGOOGLE_APPLICATION_CREDENTIALS est réglé. Si la variable est définie, ADC utilise le\nfichier de compte de service vers lequel pointe la variable. La section suivante\nDécrit comment définir la variable d'environnement.","html":"Tout d'abord, ADC vérifie si la variable d'environnement\nGOOGLE_APPLICATION_CREDENTIALS est réglé. Si la variable est définie, ADC utilise le\nfichier de compte de service vers lequel pointe la variable. La section suivante\nDécrit comment définir la variable d'environnement.
"},{"id":"text-3","type":"text","heading":"","plain_text":"Si la variable d'environnement n'est pas définie, ADC utilise le compte de service par défaut.\nfournis par Compute Engine, Kubernetes Engine, App Engine et Cloud,\npour les applications qui fonctionnent sur ces services.","html":"Si la variable d'environnement n'est pas définie, ADC utilise le compte de service par défaut.\nfournis par Compute Engine, Kubernetes Engine, App Engine et Cloud,\npour les applications qui fonctionnent sur ces services.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Si ADC ne peut utiliser aucune des informations d'identification ci-dessus, une erreur se produit.","html":"Si ADC ne peut utiliser aucune des informations d'identification ci-dessus, une erreur se produit.
"},{"id":"text-5","type":"text","heading":"","plain_text":"L'exemple de code suivant illustre cette stratégie. L'exemple\nne spécifie pas explicitement les informations d'identification de l'application. Cependant, ADC est capable de\ntrouver implicitement les pouvoirs tant que le GOOGLE_APPLICATION_CREDENTIALS\nla variable d’environnement est définie ou tant que l’application est en cours d’exécution\nFonctions Compute Engine, Kubernetes Engine, App Engine ou Cloud.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant.","html":"L'exemple de code suivant illustre cette stratégie. L'exemple\nne spécifie pas explicitement les informations d'identification de l'application. Cependant, ADC est capable de\ntrouver implicitement les pouvoirs tant que le GOOGLE_APPLICATION_CREDENTIALS\nla variable d’environnement est définie ou tant que l’application est en cours d’exécution\nFonctions Compute Engine, Kubernetes Engine, App Engine ou Cloud.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant.
"},{"id":"text-6","type":"text","heading":"","plain_text":"C #","html":"C #
"},{"id":"text-7","type":"text","heading":"","plain_text":"Aller","html":"Aller
"},{"id":"text-8","type":"text","heading":"","plain_text":"Java","html":"Java
"},{"id":"text-9","type":"text","heading":"","plain_text":"Node.js","html":"Node.js
"},{"id":"text-10","type":"text","heading":"","plain_text":"PHP","html":"PHP
"},{"id":"text-11","type":"text","heading":"","plain_text":"Python","html":"Python
"},{"id":"text-12","type":"text","heading":"","plain_text":"Rubis","html":"Rubis
"},{"id":"text-13","type":"text","heading":"","plain_text":"Cette stratégie est utile pour tester et expérimenter, mais peut rendre la tâche difficile\npour indiquer les informations d'identification utilisées par votre application. Nous recommandons explicitement\nspécifiant les informations d'identification que l'application doit utiliser, comme décrit dans\nsection suivante.\nObtention et fourniture manuelle des informations d'identification du compte de service\nSi vous développez du code localement, déployez votre application sur site ou\nLors du déploiement sur un autre cloud public, vous pouvez créer et obtenir manuellement les informations d'identification du compte de service.\nCréation d'un compte de service\nLes étapes suivantes décrivent comment créer un compte de service. Cependant, au lieu\nde définir des autorisations au niveau du propriétaire, vous devez limiter l’accès au\nautorisations, comme décrit dans la\nsection d'accès restreinte\nau dessous de.","html":"Cette stratégie est utile pour tester et expérimenter, mais peut rendre la tâche difficile\npour indiquer les informations d'identification utilisées par votre application. Nous recommandons explicitement\nspécifiant les informations d'identification que l'application doit utiliser, comme décrit dans\nsection suivante.\nObtention et fourniture manuelle des informations d'identification du compte de service\nSi vous développez du code localement, déployez votre application sur site ou\nLors du déploiement sur un autre cloud public, vous pouvez créer et obtenir manuellement les informations d'identification du compte de service.\nCréation d'un compte de service\nLes étapes suivantes décrivent comment créer un compte de service. Cependant, au lieu\nde définir des autorisations au niveau du propriétaire, vous devez limiter l’accès au\nautorisations, comme décrit dans la\nsection d'accès restreinte\nau dessous de.
"},{"id":"text-14","type":"text","heading":"","plain_text":"Console GCP","html":"Console GCP
"},{"id":"text-15","type":"text","heading":"","plain_text":"Dans la console GCP, accédez à la Créer une clé de compte de service page.\n \n Accédez à la page Créer une clé de compte de service.\n \nDu Compte de service liste, sélectionnez\n Nouveau compte de service.\ndans le Nom du compte de service champ, entrez un nom.","html":"Dans la console GCP, accédez à la Créer une clé de compte de service page.\n \n Accédez à la page Créer une clé de compte de service.\n \nDu Compte de service liste, sélectionnez\n Nouveau compte de service.\ndans le Nom du compte de service champ, entrez un nom.
"},{"id":"text-16","type":"text","heading":"","plain_text":"Du Rôle liste, sélectionnez Projet > Propriétaire.","html":"Du Rôle liste, sélectionnez Projet > Propriétaire.
"},{"id":"text-17","type":"text","heading":"","plain_text":"Remarque: Le Rôle le champ autorise votre compte de service\n accéder aux ressources. Vous pouvez afficher et modifier ce champ ultérieurement à l'aide de la touche\n Console GCP. Si vous êtes\n développer une application de production, spécifier plus granulaire\n autorisations que Projet> Propriétaire. Pour plus d'informations, voir\n attribuer des rôles aux comptes de service.","html":"Remarque: Le Rôle le champ autorise votre compte de service\n accéder aux ressources. Vous pouvez afficher et modifier ce champ ultérieurement à l'aide de la touche\n Console GCP. Si vous êtes\n développer une application de production, spécifier plus granulaire\n autorisations que Projet> Propriétaire. Pour plus d'informations, voir\n attribuer des rôles aux comptes de service.
"},{"id":"text-18","type":"text","heading":"","plain_text":"Cliquez sur Créer. Un fichier JSON contenant votre clé\n téléchargements sur votre ordinateur.","html":"Cliquez sur Créer. Un fichier JSON contenant votre clé\n téléchargements sur votre ordinateur.
"},{"id":"text-19","type":"text","heading":"","plain_text":"Ligne de commande\n Vous pouvez exécuter les commandes suivantes à l’aide de la touche\n Cloud SDK sur votre machine locale ou dans\n Cloud Shell.","html":"Ligne de commande\n Vous pouvez exécuter les commandes suivantes à l’aide de la touche\n Cloud SDK sur votre machine locale ou dans\n Cloud Shell.
"},{"id":"text-20","type":"text","heading":"","plain_text":"Créez le compte de service. Remplacer [NAME] avec un nom\n pour le compte de service.\n \ngcloud iam service-accounts créer [NAME]","html":"Créez le compte de service. Remplacer [NAME] avec un nom\n pour le compte de service.\n \ngcloud iam service-accounts créer [NAME]
"},{"id":"text-21","type":"text","heading":"","plain_text":"Accordez des autorisations au compte de service. Remplacer [PROJECT_ID]\n avec votre identifiant de projet.\n \ngcloud projects add-iam-policy-binding [PROJECT_ID] --member "serviceAccount:[NAME]@[PROJECT_ID].iam.gserviceaccount.com "--role" rôles / propriétaire "","html":"Accordez des autorisations au compte de service. Remplacer [PROJECT_ID]\n avec votre identifiant de projet.\n \ngcloud projects add-iam-policy-binding [PROJECT_ID] --member "serviceAccount:[NAME]@[PROJECT_ID].iam.gserviceaccount.com "--role" rôles / propriétaire "
"},{"id":"text-22","type":"text","heading":"","plain_text":"Remarque: Le Rôle le champ autorise votre compte de service\n accéder aux ressources. Vous pouvez afficher et modifier ce champ ultérieurement à l'aide de\n Console GCP. Si vous êtes\n développer une application de production, spécifier plus granulaire\n autorisations que Projet > Propriétaire. Pour plus d'informations, voir\n attribuer des rôles aux comptes de service.","html":"Remarque: Le Rôle le champ autorise votre compte de service\n accéder aux ressources. Vous pouvez afficher et modifier ce champ ultérieurement à l'aide de\n Console GCP. Si vous êtes\n développer une application de production, spécifier plus granulaire\n autorisations que Projet > Propriétaire. Pour plus d'informations, voir\n attribuer des rôles aux comptes de service.
"},{"id":"text-23","type":"text","heading":"","plain_text":"Générez le fichier de clé. Remplacer [FILE_NAME] avec un nom pour\n le fichier de clé.\n \nLes clés des comptes de service gcloud iam créent [FILE_NAME].json --iam-account [NAME]@[PROJECT_ID].iam.gserviceaccount.com","html":"Générez le fichier de clé. Remplacer [FILE_NAME] avec un nom pour\n le fichier de clé.\n \nLes clés des comptes de service gcloud iam créent [FILE_NAME].json --iam-account [NAME]@[PROJECT_ID].iam.gserviceaccount.com
"},{"id":"text-24","type":"text","heading":"","plain_text":"Fournir les informations d'identification du compte de service\nAprès avoir créé un compte de service, vous avez le choix entre deux options:\ninformations d'identification de votre application. Vous pouvez soit définir le\nGOOGLE_APPLICATION_CREDENTIALS variable d'environnement\nexplicitement, ou vous pouvez passer le chemin de la clé du compte de service dans le code.\nDéfinition de la variable d'environnement\nFournissez des informations d’authentification à votre code d’application en\ndéfinir la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS.\nRemplacer [PATH] avec le chemin du fichier JSON qui contient votre\nclé de compte de service, et [FILE_NAME] avec le\nnom de fichier. Cette variable s’applique uniquement à votre session shell actuelle, donc si vous\nouvrez une nouvelle session, redéfinissez la variable.","html":"Fournir les informations d'identification du compte de service\nAprès avoir créé un compte de service, vous avez le choix entre deux options:\ninformations d'identification de votre application. Vous pouvez soit définir le\nGOOGLE_APPLICATION_CREDENTIALS variable d'environnement\nexplicitement, ou vous pouvez passer le chemin de la clé du compte de service dans le code.\nDéfinition de la variable d'environnement\nFournissez des informations d’authentification à votre code d’application en\ndéfinir la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS.\nRemplacer [PATH] avec le chemin du fichier JSON qui contient votre\nclé de compte de service, et [FILE_NAME] avec le\nnom de fichier. Cette variable s’applique uniquement à votre session shell actuelle, donc si vous\nouvrez une nouvelle session, redéfinissez la variable.
"},{"id":"text-25","type":"text","heading":"","plain_text":"Linux ou macOS\nexporter GOOGLE_APPLICATION_CREDENTIALS = "[PATH]"\nPar exemple:\nexportez GOOGLE_APPLICATION_CREDENTIALS = "/ home / utilisateur / Téléchargements /[FILE_NAME].json "","html":"Linux ou macOS\nexporter GOOGLE_APPLICATION_CREDENTIALS = "[PATH]"\nPar exemple:\nexportez GOOGLE_APPLICATION_CREDENTIALS = "/ home / utilisateur / Téléchargements /[FILE_NAME].json "
"},{"id":"text-26","type":"text","heading":"","plain_text":"les fenêtres\nAvec PowerShell:\n$ env: GOOGLE_APPLICATION_CREDENTIALS = "[PATH]"\nPar exemple:\n$ env: GOOGLE_APPLICATION_CREDENTIALS = "C: Utilisateurs nom d'utilisateur Téléchargements [FILE_NAME].json "\nAvec invite de commande:\nset GOOGLE_APPLICATION_CREDENTIALS =[PATH]","html":"les fenêtres\nAvec PowerShell:\n$ env: GOOGLE_APPLICATION_CREDENTIALS = "[PATH]"\nPar exemple:\n$ env: GOOGLE_APPLICATION_CREDENTIALS = "C: Utilisateurs nom d'utilisateur Téléchargements [FILE_NAME].json "\nAvec invite de commande:\nset GOOGLE_APPLICATION_CREDENTIALS =[PATH]
"},{"id":"text-27","type":"text","heading":"","plain_text":"Une fois que vous avez terminé les étapes ci-dessus, ADC\nest capable de déterminer implicitement vos informations d'identification, comme décrit dans\nfournir des informations d'identification à votre application\nsection ci-dessus. Nous recommandons cette approche, car elle nécessite moins de code.\nDe plus, en utilisant la variable d’environnement, votre code est plus portable,\nparce que vous pouvez exécuter le même code dans plusieurs environnements avec différents\ncomptes de service.\nPasser le chemin de la clé du compte de service dans le code\nVous pouvez également choisir de désigner explicitement votre fichier de compte de service dans\ncode, comme indiqué dans l'exemple de code suivant.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant.","html":"Une fois que vous avez terminé les étapes ci-dessus, ADC\nest capable de déterminer implicitement vos informations d'identification, comme décrit dans\nfournir des informations d'identification à votre application\nsection ci-dessus. Nous recommandons cette approche, car elle nécessite moins de code.\nDe plus, en utilisant la variable d’environnement, votre code est plus portable,\nparce que vous pouvez exécuter le même code dans plusieurs environnements avec différents\ncomptes de service.\nPasser le chemin de la clé du compte de service dans le code\nVous pouvez également choisir de désigner explicitement votre fichier de compte de service dans\ncode, comme indiqué dans l'exemple de code suivant.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant.
"},{"id":"text-28","type":"text","heading":"","plain_text":"C #","html":"C #
"},{"id":"text-29","type":"text","heading":"","plain_text":"Aller","html":"Aller
"},{"id":"text-30","type":"text","heading":"","plain_text":"Java","html":"Java
"},{"id":"text-31","type":"text","heading":"","plain_text":"Node.js","html":"Node.js
"},{"id":"text-32","type":"text","heading":"","plain_text":"PHP","html":"PHP
"},{"id":"text-33","type":"text","heading":"","plain_text":"Python","html":"Python
"},{"id":"text-34","type":"text","heading":"","plain_text":"Rubis","html":"Rubis
"},{"id":"text-35","type":"text","heading":"","plain_text":"Obtention des informations d'identification sur Compute Engine, Kubernetes Engine, Environnement flexible App Engine et les fonctions de cloud\nSi votre application s'exécute sur Compute Engine, Kubernetes Engine, l’environnement flexible App Engine ou les fonctions de cloud, vous devez\nvous n'avez pas besoin de créer votre propre compte de service. Compute Engine inclut un compte de service par défaut créé automatiquement pour vous. Vous pouvez affecter un\ncompte de service différent, par instance, si nécessaire. Lorsque vous créez un nouveau\ninstance, l'instance est automatiquement activée pour s'exécuter en tant que service par défaut\ncompte et dispose d'un ensemble d'autorisations d'autorisation par défaut. Pour plus\ninformations, voir\nCompte de service par défaut de Compute Engine.\nAprès avoir configuré un compte de service, ADC peut implicitement trouver vos informations d'identification.\nsans avoir besoin de changer votre code, comme décrit dans la section ci-dessus. Si\nvous souhaitez utiliser spécifiquement les informations d'identification Compute Engine, vous pouvez explicitement\nFaites-le, comme indiqué dans l'exemple de code suivant.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant.","html":"Obtention des informations d'identification sur Compute Engine, Kubernetes Engine, Environnement flexible App Engine et les fonctions de cloud\nSi votre application s'exécute sur Compute Engine, Kubernetes Engine, l’environnement flexible App Engine ou les fonctions de cloud, vous devez\nvous n'avez pas besoin de créer votre propre compte de service. Compute Engine inclut un compte de service par défaut créé automatiquement pour vous. Vous pouvez affecter un\ncompte de service différent, par instance, si nécessaire. Lorsque vous créez un nouveau\ninstance, l'instance est automatiquement activée pour s'exécuter en tant que service par défaut\ncompte et dispose d'un ensemble d'autorisations d'autorisation par défaut. Pour plus\ninformations, voir\nCompte de service par défaut de Compute Engine.\nAprès avoir configuré un compte de service, ADC peut implicitement trouver vos informations d'identification.\nsans avoir besoin de changer votre code, comme décrit dans la section ci-dessus. Si\nvous souhaitez utiliser spécifiquement les informations d'identification Compute Engine, vous pouvez explicitement\nFaites-le, comme indiqué dans l'exemple de code suivant.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant.
"},{"id":"text-36","type":"text","heading":"","plain_text":"C #","html":"C #
"},{"id":"text-37","type":"text","heading":"","plain_text":"Aller","html":"Aller
"},{"id":"text-38","type":"text","heading":"","plain_text":"Java","html":"Java
"},{"id":"text-39","type":"text","heading":"","plain_text":"Node.js","html":"Node.js
"},{"id":"text-40","type":"text","heading":"","plain_text":"PHP","html":"PHP
"},{"id":"text-41","type":"text","heading":"","plain_text":"Python","html":"Python
"},{"id":"text-42","type":"text","heading":"","plain_text":"Rubis","html":"Rubis
"},{"id":"text-43","type":"text","heading":"","plain_text":"Obtention des informations d'identification sur l'environnement standard App Engine\nSi votre application s'exécute dans un environnement standard App Engine,\nvous pouvez utiliser l'API d'identité App Engine App\npour obtenir des informations d'identification.\nAprès avoir configuré un compte de service, ADC peut implicitement trouver vos informations d'identification.\nsans avoir besoin de changer votre code, comme décrit dans la section ci-dessus. Si\nvous souhaitez utiliser spécifiquement les informations d'identification App Engine, vous pouvez explicitement\nFaites-le, comme indiqué dans l'exemple de code suivant.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant.\nRestreindre l'accès\nAccordez uniquement à votre application les autorisations dont elle a besoin pour\ninteragir avec les API, fonctionnalités ou ressources GCP applicables. GCP utilise le cloud\nGestion des identités et des accès (Cloud IAM) pour le contrôle d'accès. Lorsque vous créez un\ncompte de service, vous pouvez choisir un rôle Cloud IAM pour limiter l’accès. le\nla procédure d’initiation à l’authentification vous invite à:\nchoisir la Propriétaire rôle lorsque vous créez un compte de service. Vous pouvez\nchangez cette valeur à tout moment. Pour plus d'informations, voir\nattribution de rôles aux comptes de service.\nMeilleures pratiques pour la gestion des informations d'identification\nLes informations d'identification permettent d'accéder aux données sensibles. Les pratiques suivantes aident\nprotéger l'accès à ces ressources.","html":"Obtention des informations d'identification sur l'environnement standard App Engine\nSi votre application s'exécute dans un environnement standard App Engine,\nvous pouvez utiliser l'API d'identité App Engine App\npour obtenir des informations d'identification.\nAprès avoir configuré un compte de service, ADC peut implicitement trouver vos informations d'identification.\nsans avoir besoin de changer votre code, comme décrit dans la section ci-dessus. Si\nvous souhaitez utiliser spécifiquement les informations d'identification App Engine, vous pouvez explicitement\nFaites-le, comme indiqué dans l'exemple de code suivant.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant.\nRestreindre l'accès\nAccordez uniquement à votre application les autorisations dont elle a besoin pour\ninteragir avec les API, fonctionnalités ou ressources GCP applicables. GCP utilise le cloud\nGestion des identités et des accès (Cloud IAM) pour le contrôle d'accès. Lorsque vous créez un\ncompte de service, vous pouvez choisir un rôle Cloud IAM pour limiter l’accès. le\nla procédure d’initiation à l’authentification vous invite à:\nchoisir la Propriétaire rôle lorsque vous créez un compte de service. Vous pouvez\nchangez cette valeur à tout moment. Pour plus d'informations, voir\nattribution de rôles aux comptes de service.\nMeilleures pratiques pour la gestion des informations d'identification\nLes informations d'identification permettent d'accéder aux données sensibles. Les pratiques suivantes aident\nprotéger l'accès à ces ressources.
"},{"id":"text-44","type":"text","heading":"","plain_text":"Ne pas incorporer les secrets liés à l’authentification dans le code source, tels que API\nclés, Jetons OAuth et compte de service\nidentifiants. Vous pouvez utiliser une variable d'environnement pointant sur des informations d'identification.\nen dehors du code source de l'application, tel que\nService de gestion de clé en nuage.","html":"Ne pas incorporer les secrets liés à l’authentification dans le code source, tels que API\nclés, Jetons OAuth et compte de service\nidentifiants. Vous pouvez utiliser une variable d'environnement pointant sur des informations d'identification.\nen dehors du code source de l'application, tel que\nService de gestion de clé en nuage.
"},{"id":"text-45","type":"text","heading":"","plain_text":"Utilisez des identifiants différents dans différents contextes, tels que les tests et\nenvironnements de production.","html":"Utilisez des identifiants différents dans différents contextes, tels que les tests et\nenvironnements de production.
"},{"id":"text-46","type":"text","heading":"","plain_text":"Ne transférez les informations d'identification que via HTTPS pour empêcher un tiers de\nintercepter vos informations d'identification. Ne jamais transférer en texte clair ou dans le cadre du\nURL","html":"Ne transférez les informations d'identification que via HTTPS pour empêcher un tiers de\nintercepter vos informations d'identification. Ne jamais transférer en texte clair ou dans le cadre du\nURL
"},{"id":"text-47","type":"text","heading":"","plain_text":"Ne jamais intégrer des informations d'identification de longue durée dans votre application côté client. Par exemple,\nN'intégrez pas les informations d'identification du compte de service dans une application mobile. Applications côté client\npeut être examiné et les informations d'identification peuvent facilement être trouvées et utilisées par une tierce partie.","html":"Ne jamais intégrer des informations d'identification de longue durée dans votre application côté client. Par exemple,\nN'intégrez pas les informations d'identification du compte de service dans une application mobile. Applications côté client\npeut être examiné et les informations d'identification peuvent facilement être trouvées et utilisées par une tierce partie.
"},{"id":"text-48","type":"text","heading":"","plain_text":"Révoquez un jeton si vous n'en avez plus besoin.","html":"Révoquez un jeton si vous n'en avez plus besoin.
"},{"id":"text-49","type":"text","heading":"","plain_text":"Dépannage des erreurs de l'API\nEn savoir plus sur le dépannage des demandes d'API échouées lors d'erreurs d'API Cloud.\nEt après","html":"Dépannage des erreurs de l'API\nEn savoir plus sur le dépannage des demandes d'API échouées lors d'erreurs d'API Cloud.\nEt après
"},{"id":"text-50","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Ce guide explique comment configurer l’authentification et l’autorisation pour le serveur.\naux applications de production de serveur. Authentification se réfère au processus de\ndéterminer l'identité d'un client. Autorisation se réfère au processus de\ndéterminer quelles autorisations un client authentifié a pour un particulier\nRessource. Autrement dit, l'authentification identifie votre identité et l'autorisation\ndétermine ce que vous pouvez faire. Pour plus d'informations sur l'authentification prise en charge\nméthodes et comment les choisir, voir Vue d'ensemble de l'authentification.\nGoogle utilise des informations d'identification pour identifier votre application pour le quota et la facturation.\nVos identifiants sont également utilisés pour autoriser l’accès aux API GCP,\nressources et fonctionnalités.\nFournir des informations d'identification pour votre application\nRecherche automatique d'informations d'identification\nLes bibliothèques clientes GCP utilisent un\nstratégie appelée Application Default Credentials (ADC) pour rechercher\nles informations d'identification de votre application. Lorsque votre code utilise une bibliothèque cliente, le\nstratégie vérifie vos informations d'identification dans l'ordre suivant:"},{"id":"text-2","heading":"Text","content":"Tout d'abord, ADC vérifie si la variable d'environnement\nGOOGLE_APPLICATION_CREDENTIALS est réglé. Si la variable est définie, ADC utilise le\nfichier de compte de service vers lequel pointe la variable. La section suivante\nDécrit comment définir la variable d'environnement."},{"id":"text-3","heading":"Text","content":"Si la variable d'environnement n'est pas définie, ADC utilise le compte de service par défaut.\nfournis par Compute Engine, Kubernetes Engine, App Engine et Cloud,\npour les applications qui fonctionnent sur ces services."},{"id":"text-4","heading":"Text","content":"Si ADC ne peut utiliser aucune des informations d'identification ci-dessus, une erreur se produit."},{"id":"text-5","heading":"Text","content":"L'exemple de code suivant illustre cette stratégie. L'exemple\nne spécifie pas explicitement les informations d'identification de l'application. Cependant, ADC est capable de\ntrouver implicitement les pouvoirs tant que le GOOGLE_APPLICATION_CREDENTIALS\nla variable d’environnement est définie ou tant que l’application est en cours d’exécution\nFonctions Compute Engine, Kubernetes Engine, App Engine ou Cloud.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant."},{"id":"text-6","heading":"Text","content":"C #"},{"id":"text-7","heading":"Text","content":"Aller"},{"id":"text-8","heading":"Text","content":"Java"},{"id":"text-9","heading":"Text","content":"Node.js"},{"id":"text-10","heading":"Text","content":"PHP"},{"id":"text-11","heading":"Text","content":"Python"},{"id":"text-12","heading":"Text","content":"Rubis"},{"id":"text-13","heading":"Text","content":"Cette stratégie est utile pour tester et expérimenter, mais peut rendre la tâche difficile\npour indiquer les informations d'identification utilisées par votre application. Nous recommandons explicitement\nspécifiant les informations d'identification que l'application doit utiliser, comme décrit dans\nsection suivante.\nObtention et fourniture manuelle des informations d'identification du compte de service\nSi vous développez du code localement, déployez votre application sur site ou\nLors du déploiement sur un autre cloud public, vous pouvez créer et obtenir manuellement les informations d'identification du compte de service.\nCréation d'un compte de service\nLes étapes suivantes décrivent comment créer un compte de service. Cependant, au lieu\nde définir des autorisations au niveau du propriétaire, vous devez limiter l’accès au\nautorisations, comme décrit dans la\nsection d'accès restreinte\nau dessous de."},{"id":"text-14","heading":"Text","content":"Console GCP"},{"id":"text-15","heading":"Text","content":"Dans la console GCP, accédez à la Créer une clé de compte de service page.\n \n Accédez à la page Créer une clé de compte de service.\n \nDu Compte de service liste, sélectionnez\n Nouveau compte de service.\ndans le Nom du compte de service champ, entrez un nom."},{"id":"text-16","heading":"Text","content":"Du Rôle liste, sélectionnez Projet > Propriétaire."},{"id":"text-17","heading":"Text","content":"Remarque: Le Rôle le champ autorise votre compte de service\n accéder aux ressources. Vous pouvez afficher et modifier ce champ ultérieurement à l'aide de la touche\n Console GCP. Si vous êtes\n développer une application de production, spécifier plus granulaire\n autorisations que Projet> Propriétaire. Pour plus d'informations, voir\n attribuer des rôles aux comptes de service."},{"id":"text-18","heading":"Text","content":"Cliquez sur Créer. Un fichier JSON contenant votre clé\n téléchargements sur votre ordinateur."},{"id":"text-19","heading":"Text","content":"Ligne de commande\n Vous pouvez exécuter les commandes suivantes à l’aide de la touche\n Cloud SDK sur votre machine locale ou dans\n Cloud Shell."},{"id":"text-20","heading":"Text","content":"Créez le compte de service. Remplacer [NAME] avec un nom\n pour le compte de service.\n \ngcloud iam service-accounts créer [NAME]"},{"id":"text-21","heading":"Text","content":"Accordez des autorisations au compte de service. Remplacer [PROJECT_ID]\n avec votre identifiant de projet.\n \ngcloud projects add-iam-policy-binding [PROJECT_ID] --member "serviceAccount:[NAME]@[PROJECT_ID].iam.gserviceaccount.com "--role" rôles / propriétaire ""},{"id":"text-22","heading":"Text","content":"Remarque: Le Rôle le champ autorise votre compte de service\n accéder aux ressources. Vous pouvez afficher et modifier ce champ ultérieurement à l'aide de\n Console GCP. Si vous êtes\n développer une application de production, spécifier plus granulaire\n autorisations que Projet > Propriétaire. Pour plus d'informations, voir\n attribuer des rôles aux comptes de service."},{"id":"text-23","heading":"Text","content":"Générez le fichier de clé. Remplacer [FILE_NAME] avec un nom pour\n le fichier de clé.\n \nLes clés des comptes de service gcloud iam créent [FILE_NAME].json --iam-account [NAME]@[PROJECT_ID].iam.gserviceaccount.com"},{"id":"text-24","heading":"Text","content":"Fournir les informations d'identification du compte de service\nAprès avoir créé un compte de service, vous avez le choix entre deux options:\ninformations d'identification de votre application. Vous pouvez soit définir le\nGOOGLE_APPLICATION_CREDENTIALS variable d'environnement\nexplicitement, ou vous pouvez passer le chemin de la clé du compte de service dans le code.\nDéfinition de la variable d'environnement\nFournissez des informations d’authentification à votre code d’application en\ndéfinir la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS.\nRemplacer [PATH] avec le chemin du fichier JSON qui contient votre\nclé de compte de service, et [FILE_NAME] avec le\nnom de fichier. Cette variable s’applique uniquement à votre session shell actuelle, donc si vous\nouvrez une nouvelle session, redéfinissez la variable."},{"id":"text-25","heading":"Text","content":"Linux ou macOS\nexporter GOOGLE_APPLICATION_CREDENTIALS = "[PATH]"\nPar exemple:\nexportez GOOGLE_APPLICATION_CREDENTIALS = "/ home / utilisateur / Téléchargements /[FILE_NAME].json ""},{"id":"text-26","heading":"Text","content":"les fenêtres\nAvec PowerShell:\n$ env: GOOGLE_APPLICATION_CREDENTIALS = "[PATH]"\nPar exemple:\n$ env: GOOGLE_APPLICATION_CREDENTIALS = "C: Utilisateurs nom d'utilisateur Téléchargements [FILE_NAME].json "\nAvec invite de commande:\nset GOOGLE_APPLICATION_CREDENTIALS =[PATH]"},{"id":"text-27","heading":"Text","content":"Une fois que vous avez terminé les étapes ci-dessus, ADC\nest capable de déterminer implicitement vos informations d'identification, comme décrit dans\nfournir des informations d'identification à votre application\nsection ci-dessus. Nous recommandons cette approche, car elle nécessite moins de code.\nDe plus, en utilisant la variable d’environnement, votre code est plus portable,\nparce que vous pouvez exécuter le même code dans plusieurs environnements avec différents\ncomptes de service.\nPasser le chemin de la clé du compte de service dans le code\nVous pouvez également choisir de désigner explicitement votre fichier de compte de service dans\ncode, comme indiqué dans l'exemple de code suivant.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant."},{"id":"text-28","heading":"Text","content":"C #"},{"id":"text-29","heading":"Text","content":"Aller"},{"id":"text-30","heading":"Text","content":"Java"},{"id":"text-31","heading":"Text","content":"Node.js"},{"id":"text-32","heading":"Text","content":"PHP"},{"id":"text-33","heading":"Text","content":"Python"},{"id":"text-34","heading":"Text","content":"Rubis"},{"id":"text-35","heading":"Text","content":"Obtention des informations d'identification sur Compute Engine, Kubernetes Engine, Environnement flexible App Engine et les fonctions de cloud\nSi votre application s'exécute sur Compute Engine, Kubernetes Engine, l’environnement flexible App Engine ou les fonctions de cloud, vous devez\nvous n'avez pas besoin de créer votre propre compte de service. Compute Engine inclut un compte de service par défaut créé automatiquement pour vous. Vous pouvez affecter un\ncompte de service différent, par instance, si nécessaire. Lorsque vous créez un nouveau\ninstance, l'instance est automatiquement activée pour s'exécuter en tant que service par défaut\ncompte et dispose d'un ensemble d'autorisations d'autorisation par défaut. Pour plus\ninformations, voir\nCompte de service par défaut de Compute Engine.\nAprès avoir configuré un compte de service, ADC peut implicitement trouver vos informations d'identification.\nsans avoir besoin de changer votre code, comme décrit dans la section ci-dessus. Si\nvous souhaitez utiliser spécifiquement les informations d'identification Compute Engine, vous pouvez explicitement\nFaites-le, comme indiqué dans l'exemple de code suivant.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant."},{"id":"text-36","heading":"Text","content":"C #"},{"id":"text-37","heading":"Text","content":"Aller"},{"id":"text-38","heading":"Text","content":"Java"},{"id":"text-39","heading":"Text","content":"Node.js"},{"id":"text-40","heading":"Text","content":"PHP"},{"id":"text-41","heading":"Text","content":"Python"},{"id":"text-42","heading":"Text","content":"Rubis"},{"id":"text-43","heading":"Text","content":"Obtention des informations d'identification sur l'environnement standard App Engine\nSi votre application s'exécute dans un environnement standard App Engine,\nvous pouvez utiliser l'API d'identité App Engine App\npour obtenir des informations d'identification.\nAprès avoir configuré un compte de service, ADC peut implicitement trouver vos informations d'identification.\nsans avoir besoin de changer votre code, comme décrit dans la section ci-dessus. Si\nvous souhaitez utiliser spécifiquement les informations d'identification App Engine, vous pouvez explicitement\nFaites-le, comme indiqué dans l'exemple de code suivant.\nVous devez\ninstaller la bibliothèque cliente Cloud Storage\npour exécuter l'exemple suivant.\nRestreindre l'accès\nAccordez uniquement à votre application les autorisations dont elle a besoin pour\ninteragir avec les API, fonctionnalités ou ressources GCP applicables. GCP utilise le cloud\nGestion des identités et des accès (Cloud IAM) pour le contrôle d'accès. Lorsque vous créez un\ncompte de service, vous pouvez choisir un rôle Cloud IAM pour limiter l’accès. le\nla procédure d’initiation à l’authentification vous invite à:\nchoisir la Propriétaire rôle lorsque vous créez un compte de service. Vous pouvez\nchangez cette valeur à tout moment. Pour plus d'informations, voir\nattribution de rôles aux comptes de service.\nMeilleures pratiques pour la gestion des informations d'identification\nLes informations d'identification permettent d'accéder aux données sensibles. Les pratiques suivantes aident\nprotéger l'accès à ces ressources."},{"id":"text-44","heading":"Text","content":"Ne pas incorporer les secrets liés à l’authentification dans le code source, tels que API\nclés, Jetons OAuth et compte de service\nidentifiants. Vous pouvez utiliser une variable d'environnement pointant sur des informations d'identification.\nen dehors du code source de l'application, tel que\nService de gestion de clé en nuage."},{"id":"text-45","heading":"Text","content":"Utilisez des identifiants différents dans différents contextes, tels que les tests et\nenvironnements de production."},{"id":"text-46","heading":"Text","content":"Ne transférez les informations d'identification que via HTTPS pour empêcher un tiers de\nintercepter vos informations d'identification. Ne jamais transférer en texte clair ou dans le cadre du\nURL"},{"id":"text-47","heading":"Text","content":"Ne jamais intégrer des informations d'identification de longue durée dans votre application côté client. Par exemple,\nN'intégrez pas les informations d'identification du compte de service dans une application mobile. Applications côté client\npeut être examiné et les informations d'identification peuvent facilement être trouvées et utilisées par une tierce partie."},{"id":"text-48","heading":"Text","content":"Révoquez un jeton si vous n'en avez plus besoin."},{"id":"text-49","heading":"Text","content":"Dépannage des erreurs de l'API\nEn savoir plus sur le dépannage des demandes d'API échouées lors d'erreurs d'API Cloud.\nEt après"},{"id":"text-50","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":""},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/10/18/configuration-de-lauthentification-pour-les-applications-de-production-de-serveur-a-serveur-authentification-google-cloud-bien-choisir-son-serveur-d-impression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/10/18/configuration-de-lauthentification-pour-les-applications-de-production-de-serveur-a-serveur-authentification-google-cloud-bien-choisir-son-serveur-d-impression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/10/18/configuration-de-lauthentification-pour-les-applications-de-production-de-serveur-a-serveur-authentification-google-cloud-bien-choisir-son-serveur-d-impression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}