如何使用不同的服务帐户凭据验证谷歌API？

任何曾经不幸以编程方式与 Google CLI 二进制文件进行交互的人都会意识到，可以使用以下工具进行身份验证gcloud, gsutil, bq等远非直观或琐碎，尤其当您需要跨不同项目工作时。

我正在为不同的项目运行与 Google Cloud Storage 和 BigQuery 交互的各种 cron 作业。由于 cron 作业可能会重叠，因此重命名配置文件显然不是一个选择，任何理智的人也不会采取这种方法。

肯定有某种方法将服务帐户的密钥对文件的路径传递给这些 CLI 二进制文件，但是bq help什么也不产生。

Google 文档虽然冗长，但基本上没有什么用处，它让人们了解了 OAuth2 的工作原理等，而不是解释什么肯定是一个非常常见的要求，即如何在不运行的情况下实际验证服务帐户修改中央配置文件的命令。

任何开明的人都可以告诉我谷歌的工程师是否决定添加一个像将服务帐户的密钥对文件的路径传递给类似这样简单的功能gsutil and bq？或者也许我可以简单地导出一些变量，以便他们知道使用哪个密钥对文件进行身份验证？

我意识到这些简单化的方法可能是对情报的侮辱，但我们并不关心如何利用核聚变，因此我们甚至不需要考虑相比之下亚马逊的身份验证方法如此正确......

Cloud SDK 中的配置对于用户来说是全局的，但您可以指定在每个命令的基础上使用该配置的哪些方面。为了完成您正在尝试做的事情，您可以：

gcloud auth activate-service-account [email protected] /cdn-cgi/l/email-protection --key-file ...
gcloud auth activate-service-account [email protected] /cdn-cgi/l/email-protection --key-file ...

此时，两组凭据都位于您的全局凭据存储中。 现在你可以运行：

gcloud --account [email protected] /cdn-cgi/l/email-protection some-command
gcloud --account [email protected] /cdn-cgi/l/email-protection some-command

并行地，每个人都将使用给定的帐户而不会干扰。

其更大的扩展是“配置”，它执行相同的操作，但针对您的整套配置（包括帐户和项目等设置）。

# Create first configuration
gcloud config configurations create myconfig
gcloud config configurations activate myconfig
gcloud config set account [email protected] /cdn-cgi/l/email-protection
gcloud config set project foo

# Create second configuration
gcloud config configurations create anotherconfig
gcloud config configurations activate anotherconfig
gcloud config set account [email protected] /cdn-cgi/l/email-protection
gcloud config set project bar

您可以根据每个命令指定要使用的配置。

gcloud --configuration myconfig some-command
gcloud --configuration anotherconfig some-command

您可以通过运行以下命令来阅读有关配置的更多信息：gcloud topic configurations

所有属性都有相应的环境变量，允许您为单个命令调用或终端会话设置特定属性。它们的形式如下：

CLOUDSDK_<SECTION>_<PROPERTY>

例如：CLOUDSDK_CORE_ACCOUNT

您可以通过运行以下命令查看所有可用的配置设置：gcloud help config

--configuration 标志的等效项是：CLOUDSDK_ACTIVE_CONFIG_NAME

如果您确实想要完全隔离，您还可以通过设置更改Cloud SDK的config目录CLOUDSDK_CONFIG到您选择的目录。请注意，如果您这样做，配置将完全独立，包括凭证存储、所有配置、日志等。