Questo documento descrive come autenticare applicazioni o carichi di lavoro in esecuzione in un ambiente di produzione su Compute Engine o in fase di test in locale per il deployment futuro nell'ambiente di produzione. Puoi:
- Autenticare i workload per utilizzare le API di Google
- Autentica i workload con altri workload tramite mTLS
Autenticare i workload per utilizzare le API di Google
Utilizza la seguente tabella per determinare il metodo di autenticazione da utilizzare per i tuoi workload.
| Attività | Metodo |
|---|---|
| Autenticare app o workload in produzione | Utilizza il account di servizio collegato alla VM. Questo è il metodo più comune per autenticare app e workload in esecuzione su istanze di macchine virtuali (VM) su Google Cloud. Per istruzioni dettagliate, vedi Esegui l'autenticazione dei workload per le API Google Cloud utilizzando i service account. |
| Autenticare app o workload in fase di sviluppo | Utilizza Google Cloud SDK e le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura ADC per un ambiente di sviluppo locale. |
| Autorizzazione di app e carichi di lavoro che devono accedere alle risorse degli utenti finali | Se stai creando strumenti di sviluppo o amministrazione in cui gli utenti ti concedono l'accesso alle loro risorse Google Cloud , ottieni l'accesso alle risorse utente della tua applicazione utilizzando OAuth 2.0. Per istruzioni dettagliate, vedi Utilizzo di OAuth 2.0 per applicazioni server web. Nella richiesta, specifica un ambito di accesso che limiti l'accesso solo ai metodi e alle informazioni utente richiesti dalla tua applicazione. Per un elenco completo dei servizi e degli ambiti richiesti in Google Cloud, vedi Ambiti OAuth 2.0 per le API di Google. |
Autentica i workload con altri workload tramite mTLS
Puoi autenticare applicazioni o altri workload utilizzando le identità dei workload gestite. Questo metodo di autenticazione utilizza un account di servizio, pool di autorità di certificazione (CA), identità del workload gestite e un identificatore di istanza univoco per identificare le istanze.
Le identità dei workload gestite consentono di associare identità con attestazione forte ai workload di Compute Engine. Google Cloud esegue il provisioning delle credenziali X.509 emesse dal Certificate Authority Service che possono essere utilizzate per autenticare in modo affidabile il tuo workload quando comunica con altri workload tramite l'autenticazione mutual TLS (mTLS).
Il tuo workload utilizza l'identità del workload gestita come identità quando esegue l'autenticazione con altri workload utilizzando mutual TLS (mTLS) e utilizza il account di servizio come identità quando accede ad altri servizi e risorse diGoogle Cloud .
Per saperne di più, consulta Autentica i workload con altri workload tramite mTLS.
Passaggi successivi
- Scopri di più sui seguenti concetti: