Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Para usar o Google Cloud, os usuários e as cargas de trabalho precisam de uma identidade que
Google Cloud reconheça.
Nesta página, descrevemos os métodos que podem ser usados para configurar identidades para
usuários e cargas de trabalho.
Identidades de usuário
Há várias maneiras de configurar identidades de usuário para que Google Cloud
possa reconhecê-las:
Criar contas do Cloud Identity ou do Google Workspace: os usuários com
contas do Cloud Identity ou do Google Workspace podem se autenticar
no Google Cloud e receber autorização para usar recursos do Google Cloud .
As contas do Cloud Identity e do Google Workspace são contas de usuário
gerenciadas pela sua organização.
Configure uma das seguintes estratégias de identidade federada:
Federação usando o Cloud Identity ou o Google Workspace:
sincronize identidades externas com as contas correspondentes do Cloud Identity ou
do Google Workspace para que os usuários possam fazer login nos serviços
do Google com as credenciais externas. Com esse método, os usuários precisam de duas
contas: uma externa e uma do Cloud Identity
ou Google Workspace. É possível manter essas contas sincronizadas usando uma ferramenta como o Google Cloud Directory Sync (GCDS).
Federação de identidade da força de trabalho: use o provedor de identidade externo (IdP)
para fazer login dos usuários no Google Cloud e permitir que eles acessem
Google Cloud recursos e produtos.
Com a federação de identidade de colaboradores, os usuários só precisam de uma
conta: a externa. Esse tipo de identidade do usuário às vezes é chamado de
identidade federada.
OGoogle Cloud oferece os seguintes tipos de serviços de identidade para cargas de trabalho:
A federação de identidade da carga de trabalho
permite que as cargas de trabalho acessem a maioria dos serviços Google Cloud usando uma
identidade fornecida por um IdP. As cargas de trabalho que usam
a federação de identidade da carga de trabalho podem ser executadas no Google Cloud,
no Google Kubernetes Engine (GKE) ou em outras plataformas, como AWS, Azure e
GitHub.
As contas de serviçoGoogle Cloud podem atuar como
identidades de cargas de trabalho. Em vez de conceder acesso a uma carga de trabalho diretamente,
conceda acesso a uma conta de serviço e permita que ela utilize a conta de serviço
como identidade.
Identidades de cargas de trabalho gerenciadas(pré-visualização)
permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine. É possível usar identidades de carga de trabalho gerenciada para
autenticar suas cargas de trabalho em outras cargas de trabalho usando TLS mútuo (mTLS),
mas elas não podem ser usadas para autenticação nas APIs do Google Cloud .
Os métodos que você pode usar dependem de onde suas cargas de trabalho estão em execução.
Se você estiver executando cargas de trabalho no Google Cloud, use os seguintes
métodos para configurar identidades de carga de trabalho:
Federação de Identidade da Carga de Trabalho para GKE: conceda acesso ao IAM a
clusters do GKE e contas de serviço do Kubernetes. Isso permite que as cargas de trabalho dos clusters acessem a maioria dos serviços Google Cloud diretamente, sem usar a representação da conta de serviço do IAM.
Contas de serviço anexadas: anexe uma conta de serviço a um recurso para que
a conta de serviço atue como a identidade padrão do recurso. Todas as cargas de trabalho
em execução no recurso usam a identidade da conta de serviço ao acessar
os serviçosGoogle Cloud .
Credenciais de conta de serviço de curta duração: gere e use credenciais de conta de serviço de curta duração sempre que seus recursos precisarem acessar os serviços doGoogle Cloud . Os tipos de credenciais mais comuns são
tokens de acesso do OAuth 2.0 e tokens de ID do OpenID Connect (OIDC).
Se você estiver executando cargas de trabalho fora de Google Cloud, use os
seguintes métodos para configurar identidades de carga de trabalho:
Federação de identidade da carga de trabalho: use credenciais de provedores de identidade externos
para gerar credenciais de curta duração, que as cargas de trabalho podem usar para
representar temporariamente as contas de serviço. As cargas de trabalho podem acessar
recursos doGoogle Cloud usando a conta de serviço como identidade.
Chaves de conta de serviço: use a parte particular do par de chaves RSA pública/privada de uma conta de serviço para autenticar como a conta de serviço.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eGoogle Cloud requires users and workloads to have a recognizable identity for access.\u003c/p\u003e\n"],["\u003cp\u003eUser identities can be established through Cloud Identity/Google Workspace accounts or by setting up federated identity strategies.\u003c/p\u003e\n"],["\u003cp\u003eWorkload identities on Google Cloud can use Workload Identity Federation, Google Cloud service accounts, or managed workload identities.\u003c/p\u003e\n"],["\u003cp\u003eWorkload identities for workloads outside of Google Cloud can leverage Workload Identity Federation or service account keys, with the latter carrying security risks.\u003c/p\u003e\n"],["\u003cp\u003eThe method to choose to configure a workload identity depends on where the workloads are running, in or out of Google cloud.\u003c/p\u003e\n"]]],[],null,["# Identity management for Google Cloud\n\nTo use Google Cloud, users and workloads need an identity that\nGoogle Cloud can recognize.\n\nThis page outlines the methods that you can use to configure identities for\nusers and workloads.\n\nUser identities\n---------------\n\nThere are several ways to configure user identities so that Google Cloud\ncan recognize them:\n\n- **Create Cloud Identity or Google Workspace accounts**: Users with Cloud Identity or Google Workspace accounts can authenticate to Google Cloud and be authorized to use Google Cloud resources. Cloud Identity and Google Workspace accounts are user accounts that are managed by your organization.\n\n| **Note:** Google Workspace accounts may have one or more *[alternate email addresses (email alias)](https://support.google.com/a/answer/33327)* . If you grant a role to a principal's *email alias* , the role is granted to the *primary email* instead. It's not possible to grant a role to only the *email alias*.\n| **Warning:** Granting a role to a principal's *email alias* reveals the *primary email*.\n\n- **Set up one of the following federated identity strategies**:\n\n - **Federation using Cloud Identity or Google Workspace** : Sync external identities with corresponding Cloud Identity or Google Workspace accounts so that users can sign in to Google services with their external credentials. With this method, users need two accounts: an external account, and a Cloud Identity or Google Workspace account. You can keep these accounts synchronized using a tool like [Google Cloud Directory Sync\n (GCDS)](https://tools.google.com/dlpage/dirsync/).\n - **Workforce Identity Federation** : Use your external identity provider (IdP) to sign in your users to Google Cloud and let them access Google Cloud resources and products. With Workforce Identity Federation, users need only one account: their external account. This type of user identity is sometimes referred to as a *federated identity*.\n\nTo learn more about these methods for setting up user identities, see\n[User identities overview](/iam/docs/user-identities).\n\nWorkload identities\n-------------------\n\nGoogle Cloud provides the following types of identity services for workloads:\n\n- [**Workload Identity Federation**](/iam/docs/workload-identity-federation)\n lets your workloads access most Google Cloud services by using an\n identity that is provided by an IdP. Workloads that use\n Workload Identity Federation can run on Google Cloud,\n Google Kubernetes Engine (GKE), or other platforms, such as AWS, Azure, and\n GitHub.\n\n- [**Google Cloud service accounts**](/iam/docs/service-account-overview) can act as\n identities for workloads. Instead of granting access to a workload directly,\n you grant access to a service account, then let the workload use the service\n account as its identity.\n\n- [**Managed workload identities**](/iam/docs/managed-workload-identity) [**(Preview)**](/products#product-launch-stages)\n let you bind strongly attested identities to your Compute Engine\n workloads. You can use managed workload identities to authenticate your\n workloads to other workloads using [mutual TLS (mTLS)](https://en.wikipedia.org/wiki/Mutual_authentication),\n but they cannot be used for authenticating to Google Cloud APIs.\n\nThe methods that you can use depend on where your workloads are running.\n\nIf you're running workloads on Google Cloud, you can use the following\nmethods to configure workload identities:\n\n- **Workload Identity Federation for GKE**: Grant IAM access to\n GKE clusters and Kubernetes service accounts. Doing so lets the\n clusters' workloads access most Google Cloud services directly, without\n using IAM service account impersonation.\n\n- **Attached service accounts**: Attach a service account to a resource so that\n the service account acts as the resource's default identity. Any workloads\n running on the resource use the service account's identity when accessing\n Google Cloud services.\n\n- **Short-lived service account credentials**: Generate and use short-lived\n service account credentials whenever your resources need to access to\n Google Cloud services. The most common types of credentials are\n OAuth 2.0 access tokens and OpenID Connect (OIDC) ID tokens.\n\nIf you're running workloads outside of Google Cloud, you can use the\nfollowing methods to configure workload identities:\n\n- **Workload Identity Federation**: Use credentials from external identity providers to generate short-lived credentials, which workloads can use to temporarily impersonate service accounts. Workloads can then access Google Cloud resources, using the service account as their identity.\n- **Service account keys**: Use the private portion of a service account's\n public/private RSA key pair to authenticate as the service account.\n\n | **Important:** Service account keys are a security risk if not managed correctly. You should [choose a more secure alternative to service account keys](/docs/authentication#auth-decision-tree) whenever possible. If you must authenticate with a service account key, you are responsible for the security of the private key and for other operations described by [Best practices for managing service account keys](/iam/docs/best-practices-for-managing-service-account-keys). If you are prevented from creating a service account key, service account key creation might be disabled for your organization. For more information, see [Managing secure-by-default organization resources](/resource-manager/docs/secure-by-default-organizations).\n |\n |\n | If you acquired the service account key from an external source, you must validate it before use.\n | For more information, see [Security requirements for externally sourced credentials](/docs/authentication/external/externally-sourced-credentials).\n\nTo learn more about these methods for setting up workload identities, see\n[Workload identities overview](/iam/docs/workload-identities)."]]
