In diesem Dokument wird beschrieben, wie Sie Anwendungen oder Arbeitslasten authentifizieren, die entweder in einer Produktionsumgebung in Compute Engine ausgeführt werden oder lokal für die zukünftige Bereitstellung in der Produktionsumgebung getestet werden. In diesem Fall können Sie folgende Aktionen ausführen:
- Arbeitslasten für die Verwendung von Google APIs authentifizieren
- Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren
Arbeitslasten für die Verwendung von Google APIs authentifizieren
Anhand der folgenden Tabelle können Sie ermitteln, welche Authentifizierungsmethode für Ihre Arbeitslasten verwendet werden soll.
| Task (Aufgabe) | Methode |
|---|---|
| Apps oder Arbeitslasten authentifizieren, die in der Produktion sind | Verwenden Sie das Dienstkonto, das an die VM angehängt ist. Dies ist die gängigste Methode zum Authentifizieren von Anwendungen und Arbeitslasten, die auf VM-Instanzen auf Google Cloudausgeführt werden. Eine ausführliche Anleitung finden Sie unter Arbeitslasten mit Dienstkonten bei Google Cloud APIs authentifizieren. |
| Apps oder Arbeitslasten authentifizieren, die sich in der Entwicklung befinden | Google Cloud SDK und Standardanmeldedaten für Anwendungen verwenden Weitere Informationen finden Sie unter ADC für eine lokale Entwicklungsumgebung einrichten. |
| Apps und Arbeitslasten autorisieren, die Zugriff auf Endnutzerressourcen benötigen | Wenn Sie Entwicklungs- oder Verwaltungstools erstellen, bei denen Nutzer den Zugriff auf ihre Google Cloud Ressourcen erlauben, verwenden Sie OAuth 2.0, um Ihrer Anwendung den Zugriff auf Nutzerressourcen zu ermöglichen. Eine ausführliche Anleitung finden Sie unter OAuth 2.0 für Webserveranwendungen verwenden. Begrenzen Sie in der Anfrage den Zugriffsbereich auf die Methoden und Nutzerinformationen, die die Anwendung benötigt. Eine vollständige Liste der Dienste und erforderlichen Bereiche in Google Cloudfinden Sie unter OAuth 2.0-Bereiche für Google APIs. |
Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren
Sie können Anwendungen oder Arbeitslasten mit verwalteten Arbeitslastidentitäten authentifizieren. Bei dieser Authentifizierungsmethode werden Dienstkonten, Zertifizierungsstellen-Pools (Certificate Authority, CA) und verwaltete Arbeitslastidentitäten verwendet.
Mit verwalteten Arbeitslastidentitäten können Sie stark bestätigte Identitäten an Ihre Compute Engine-Arbeitslasten binden. Google Cloud stellt X.509-Anmeldedaten zur Verfügung, die vom Certificate Authority Service ausgestellt werden und mit denen Sie Ihre Arbeitslasten über gegenseitige TLS-Authentifizierung (mTLS) zuverlässig bei anderen Arbeitslasten authentifizieren können.
Ihre Arbeitslast verwendet die verwaltete Arbeitslastidentität als Identität, wenn sie sich bei anderen Arbeitslasten über gegenseitiges TLS (mTLS) authentifiziert, und verwendet das Dienstkonto als Identität, wenn sie auf andereGoogle Cloud -Dienste und -Ressourcen zugreift.
Weitere Informationen finden Sie unter Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren.
Nächste Schritte
- Weitere Informationen zu den folgenden Konzepten: