# #authentication #google-cloud-platform #gcloud
Вопрос:
Мы используем gcloud интерфейс командной строки для запуска задания adhoc и ручного развертывания облачных функций.
Ранее мы использовали несколько ключей из одной общей учетной записи службы. Это явно плохая практика.
gcloud auth application-default login позволяет каждому из нас использовать наши индивидуальные учетные данные пользователя, но срок их действия истекает примерно через час!
Я проверил https://admin.google.com/ac/security/reauth/admin-tools и настройки показывают never require reauthentication
Вопрос: Как можно получить более длительные учетные данные пользователя для использования с gcloud ?
Единственная другая альтернатива, которую я могу придумать, — это создать уникальные учетные записи служб для каждого разработчика.
Ответ №1:
Вопрос: Как можно получить более длительные учетные данные пользователя для использования с gcloud?
Срок действия учетных данных жестко ограничен одним часом. Читайте ниже для получения подробной информации и рекомендаций.
Учетные данные для интерфейса командной строки следует использовать только для интерфейса командной строки и для краткосрочного тестирования кода/API. Если вы используете токены, созданные на основе удостоверений пользователей, в будущем у вас возникнут проблемы с квотами и ограничением скорости, применяемыми Google Cloud.
Такие команды, как gcloud auth application-маркер доступа к печати по умолчанию, выдают маркеры доступа OAuth 2.0 из настройки идентификации в интерфейсе командной строки. Эти токены следует рассматривать как учетные данные только для тестирования. Они действительны в течение 3600 секунд. Время жизни не может быть изменено без изменения исходного кода интерфейса командной строки.
Вам следует использовать учетные записи служб и клиентские библиотеки, если вам нужны долгосрочные учетные данные. Клиентские библиотеки автоматически обновят маркеры доступа OAuth учетной записи службы. Кроме того, каждый разработчик должен иметь удостоверение пользователя и учетную запись службы. Не делитесь учетными записями служб между пользователями.
Вы можете самостоятельно создавать токены и управлять обновлением этих токенов. Я написал статьи на своем веб-сайте, в которых подробно описываются примеры на Python и curl CLI.
В облаке Google токены OAuth действительны в течение одного часа. Изменяя ограничения политики ОРГАНИЗАЦИИ, можно создавать токены со сроком службы до 12 часов. Я не рекомендую это ограничение.
Ограничением политики организации является:
constraints/iam.allowServiceAccountCredentialLifetimeExtension