Este documento descreve como autenticar aplicativos ou cargas de trabalho em execução em um ambiente de produção no Compute Engine ou em teste local para implantação futura no ambiente de produção. Você pode fazer o seguinte:
- Autentique suas cargas de trabalho para usar APIs do Google
- Autentique suas cargas de trabalho para outras cargas de trabalho por mTLS
Autentique suas cargas de trabalho para usar APIs do Google
Use a tabela a seguir para determinar qual método de autenticação usar para suas cargas de trabalho.
| Tarefa | Método |
|---|---|
| Autenticar aplicativos ou cargas de trabalho que estão em produção | Use a conta de serviço anexada à VM. Este é o método mais comum para autenticar aplicativos e cargas de trabalho em execução em instâncias de máquinas virtuais (VM) em Google Cloud. Para obter instruções detalhadas, consulte Autenticar cargas de trabalho para Google Cloud APIs usando contas de serviço . |
| Autenticar aplicativos ou cargas de trabalho que estão em desenvolvimento | Use o SDK do Google Cloud e as credenciais padrão do aplicativo. Para obter mais informações, consulte Configurar o ADC para um ambiente de desenvolvimento local . |
| Autorizando aplicativos e cargas de trabalho que precisam de acesso aos recursos do usuário final | Se você estiver criando ferramentas de desenvolvimento ou administração nas quais os usuários concedem acesso aos seus Google Cloud recursos, obtenha acesso do seu aplicativo aos recursos do usuário usando o OAuth 2.0. Para obter instruções detalhadas, consulte Usando o OAuth 2.0 para aplicativos de servidor Web . Na sua solicitação, especifique um escopo de acesso que limite seu acesso apenas aos métodos e às informações do usuário que seu aplicativo exige. Para obter uma lista completa de serviços e escopos necessários em Google Cloud, consulte Escopos do OAuth 2.0 para APIs do Google . |
Autentique suas cargas de trabalho para outras cargas de trabalho por mTLS
Você pode autenticar aplicativos ou cargas de trabalho usando identidades de carga de trabalho gerenciadas . Esse método de autenticação usa uma conta de serviço, pools de autoridades de certificação (CA) e identidades de carga de trabalho gerenciadas.
As identidades de carga de trabalho gerenciadas permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine. Google Cloud provisiona credenciais X.509 emitidas pelo Serviço de Autoridade de Certificação que podem ser usadas para autenticar de forma confiável sua carga de trabalho com outras cargas de trabalho por meio de autenticação TLS mútua (mTLS) .
Sua carga de trabalho usa a identidade da carga de trabalho gerenciada como identidade quando se autentica em outras cargas de trabalho usando TLS mútuo (mTLS) e usa a conta de serviço como identidade quando acessa outrosGoogle Cloud serviços e recursos.
Para obter mais informações, consulte Autenticar cargas de trabalho para outras cargas de trabalho por meio de mTLS .
O que vem a seguir
- Saiba mais sobre os seguintes conceitos:
Este documento descreve como autenticar aplicativos ou cargas de trabalho em execução em um ambiente de produção no Compute Engine ou em teste local para implantação futura no ambiente de produção. Você pode fazer o seguinte:
- Autentique suas cargas de trabalho para usar APIs do Google
- Autentique suas cargas de trabalho para outras cargas de trabalho por mTLS
Autentique suas cargas de trabalho para usar APIs do Google
Use a tabela a seguir para determinar qual método de autenticação usar para suas cargas de trabalho.
| Tarefa | Método |
|---|---|
| Autenticar aplicativos ou cargas de trabalho que estão em produção | Use a conta de serviço anexada à VM. Este é o método mais comum para autenticar aplicativos e cargas de trabalho em execução em instâncias de máquinas virtuais (VM) em Google Cloud. Para obter instruções detalhadas, consulte Autenticar cargas de trabalho para Google Cloud APIs usando contas de serviço . |
| Autenticar aplicativos ou cargas de trabalho que estão em desenvolvimento | Use o SDK do Google Cloud e as credenciais padrão do aplicativo. Para obter mais informações, consulte Configurar o ADC para um ambiente de desenvolvimento local . |
| Autorizando aplicativos e cargas de trabalho que precisam de acesso aos recursos do usuário final | Se você estiver criando ferramentas de desenvolvimento ou administração nas quais os usuários concedem acesso aos seus Google Cloud recursos, obtenha acesso do seu aplicativo aos recursos do usuário usando o OAuth 2.0. Para obter instruções detalhadas, consulte Usando o OAuth 2.0 para aplicativos de servidor Web . Na sua solicitação, especifique um escopo de acesso que limite seu acesso apenas aos métodos e às informações do usuário que seu aplicativo exige. Para obter uma lista completa de serviços e escopos necessários em Google Cloud, consulte Escopos do OAuth 2.0 para APIs do Google . |
Autentique suas cargas de trabalho para outras cargas de trabalho por mTLS
Você pode autenticar aplicativos ou cargas de trabalho usando identidades de carga de trabalho gerenciadas . Esse método de autenticação usa uma conta de serviço, pools de autoridades de certificação (CA) e identidades de carga de trabalho gerenciadas.
As identidades de carga de trabalho gerenciadas permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine. Google Cloud provisiona credenciais X.509 emitidas pelo Serviço de Autoridade de Certificação que podem ser usadas para autenticar de forma confiável sua carga de trabalho com outras cargas de trabalho por meio de autenticação TLS mútua (mTLS) .
Sua carga de trabalho usa a identidade da carga de trabalho gerenciada como identidade quando se autentica em outras cargas de trabalho usando TLS mútuo (mTLS) e usa a conta de serviço como identidade quando acessa outrosGoogle Cloud serviços e recursos.
Para obter mais informações, consulte Autenticar cargas de trabalho para outras cargas de trabalho por meio de mTLS .
O que vem a seguir
- Saiba mais sobre os seguintes conceitos: