Esta página foi traduzida pela API Cloud Translation.

Gestão de identidades para o Google Cloud

Para usar Google Cloud, os utilizadores e as cargas de trabalho precisam de uma identidade que o Google Cloud possa reconhecer.

Esta página descreve os métodos que pode usar para configurar identidades para utilizadores e cargas de trabalho.

Identidades dos utilizadores

Existem várias formas de configurar as identidades dos utilizadores para que o Google Cloud as possa reconhecer:

Criar contas do Cloud ID ou do Google Workspace: os utilizadores com contas do Cloud ID ou do Google Workspace podem autenticar-se Google Cloud e ter autorização para usar Google Cloud recursos. As contas do Cloud ID e do Google Workspace são contas de utilizador geridas pela sua organização.

Configure uma das seguintes estratégias de identidade federada:
- Federação através do Cloud ID ou do Google Workspace: Sincronize identidades externas com as contas correspondentes do Cloud ID ou do Google Workspace para que os utilizadores possam iniciar sessão nos serviços Google com as respetivas credenciais externas. Com este método, os utilizadores precisam de duas contas: uma conta externa e uma conta do Cloud ID ou do Google Workspace. Pode manter estas contas sincronizadas através de uma ferramenta como a Sincronização de diretórios do Google Cloud (GCDS).
- Federação de identidades da força de trabalho: use o seu fornecedor de identidade (IdP) externo para permitir que os utilizadores iniciem sessão no Google Cloud e acedam aos Google Cloud recursos e produtos. Com a federação de identidades da força de trabalho, os utilizadores só precisam de uma conta: a respetiva conta externa. Por vezes, este tipo de identidade do utilizador é denominado identidade federada.

Para saber mais acerca destes métodos de configuração de identidades de utilizadores, consulte o artigo Vista geral das identidades de utilizadores.

AGoogle Cloud oferece os seguintes tipos de serviços de identidade para cargas de trabalho:

A Workload Identity Federation permite que as suas cargas de trabalho acedam à maioria dos Google Cloud serviços através de uma identidade fornecida por um IdP. As cargas de trabalho que usam a Workload Identity Federation podem ser executadas no Google Cloud, no Google Kubernetes Engine (GKE) ou noutras plataformas, como a AWS, o Azure e o GitHub.
As Google Cloud contas de serviço podem atuar como identidades para cargas de trabalho. Em vez de conceder acesso diretamente a uma carga de trabalho, concede acesso a uma conta de serviço e, em seguida, permite que a carga de trabalho use a conta de serviço como a respetiva identidade.
Identidades de carga de trabalho geridas (pré-visualização) permitem associar identidades fortemente atestadas às suas cargas de trabalho do Compute Engine. Pode usar identidades de carga de trabalho geridas para autenticar as suas cargas de trabalho noutras cargas de trabalho através do TLS mútuo (mTLS), mas não podem ser usadas para autenticação em Google Cloud APIs.

Os métodos que pode usar dependem de onde as suas cargas de trabalho estão a ser executadas.

Se estiver a executar cargas de trabalho no Google Cloud, pode usar os seguintes métodos para configurar identidades de cargas de trabalho:

Federação de identidades da carga de trabalho para o GKE: conceda acesso ao IAM a clusters do GKE e contas de serviço do Kubernetes. Ao fazê-lo, as cargas de trabalho dos clusters podem aceder à maioria dos serviços diretamente, sem usar a representação da conta de serviço do IAM. Google Cloud
Contas de serviço anexadas: anexe uma conta de serviço a um recurso para que a conta de serviço funcione como a identidade predefinida do recurso. Todas as cargas de trabalho executadas no recurso usam a identidade da conta de serviço quando acedem aos Google Cloud serviços.
Credenciais da conta de serviço de curta duração: gere e use credenciais da conta de serviço de curta duração sempre que os seus recursos precisarem de aceder aosGoogle Cloud serviços. Os tipos de credenciais mais comuns são as chaves de acesso OAuth 2.0 e as chaves de ID OpenID Connect (OIDC).

Se estiver a executar cargas de trabalho fora do Google Cloud, pode usar os seguintes métodos para configurar identidades de cargas de trabalho:

Federação de identidades da carga de trabalho: use credenciais de fornecedores de identidade externos para gerar credenciais de curta duração que as cargas de trabalho podem usar para se fazerem passar temporariamente por contas de serviço. Em seguida, as cargas de trabalho podem aceder aos recursosGoogle Cloud , usando a conta de serviço como identidade.
Chaves de contas de serviço: use a parte privada de um par de chaves RSA público/privado de uma conta de serviço para fazer a autenticação como a conta de serviço.

Importante: As chaves de contas de serviço representam um risco de segurança se não forem geridas corretamente. Deve escolher uma alternativa mais segura às chaves de contas de serviço sempre que possível. Se tiver de fazer a autenticação com uma chave de conta de serviço, é responsável pela segurança da chave privada e por outras operações descritas nas Práticas recomendadas de gestão de chaves de contas de serviço. Se não conseguir criar uma chave de conta de serviço, a criação de chaves de contas de serviço pode estar desativada para a sua organização. Para mais informações, consulte o artigo Gerir recursos da organização seguros por predefinição.
Se adquiriu a chave da conta de serviço a partir de uma fonte externa, tem de a validar antes de a usar. Para mais informações, consulte os Requisitos de segurança para credenciais de origem externa.

Para saber mais acerca destes métodos de configuração de identidades de cargas de trabalho, consulte o artigo Vista geral das identidades de cargas de trabalho.