Authentification pour les API et services Google Cloud

Ce document vous aide à comprendre les concepts et méthodes clés de l'authentification, et à obtenir de l'aide concernant la mise en œuvre de l'authentification ou la résolution des problèmes s'y rapportant. Les services sont la cible principale de la documentation sur l'authentification, Google Cloud mais la liste des cas d'utilisation de l'authentification et le document de présentation de cette page incluent des cas d'utilisation pour d'autres produits Google également.

Introduction

L'authentification est le processus permettant de confirmer votre identité grâce à l'utilisation d'un identifiant. L'authentification consiste à prouver que vous êtes bien celui que vous prétendez être.

Google fournit de nombreux services et API, qui nécessitent de s'authentifier pour y accéder. Google propose également un certain nombre de services qui hébergent des applications écrites par nos clients. Ces applications doivent également déterminer l'identité de leurs utilisateurs.

Les API Google mettent en œuvre et étendent le framework OAuth 2.0.

Obtenir de l'aide concernant l'authentification

Action	Instructions
S'authentifier auprès de Vertex AI en mode express (aperçu).	Utilisez la clé API créée pour vous lors du processus de connexion pour s'authentifier auprès de Vertex AI. Pour en savoir plus, consultez la présentation de Vertex AI en mode express.
S'authentifier auprès d'un Google Cloud service à partir de mon application à l'aide d'un langage de programmation de haut niveau	Configurez les identifiants par défaut de l'application, puis utilisez l'une des bibliothèques clientes Cloud.
Authentifiez-vous auprès d'une application nécessitant un jeton d'ID.	Obtenez un jeton d'identification OpenID Connect (OIDC) et fournissez-le avec votre requête.
Mettre en œuvre l'authentification des utilisateurs pour une application qui accède aux services et aux ressources Google ou Google Cloud	Consultez la page Authentifier les utilisateurs de l'application pour découvrir une comparaison des options.
Tester des commandes `gcloud` dans mon environnement de développement local.	Initialisez gcloud CLI.
Tester des requêtes d'API REST dans mon environnement de développement local. Google Cloud	Utilisez un outil de ligne de commande tel que `curl` pour appeler l'API REST.
Tester un extrait de code figurant dans la documentation de mon produit.	Configurez les identifiants par défaut de l'application pour un environnement de développement local, et installez la bibliothèque cliente de votre produit dans votre environnement local. La bibliothèque cliente va rechercher automatiquement vos identifiants.
Obtenir de l'aide pour un autre cas d'utilisation de l'authentification.	Consultez la page Cas d'utilisation de l'authentification.
Consultez la liste des produits fournis par Google dans l'espace de gestion de l'authentification et des accès.	Consultez la page Produits Google de gestion de l'authentification et des accès.

Choisir la méthode d'authentification adaptée à votre cas d'utilisation

Lorsque vous accédez aux services à l'aide de Google Cloud CLI, des bibliothèques clientes Cloud, d'outils compatibles avec les identifiants par défaut de l'application, comme Terraform ou REST requêtes, utilisez le schéma suivant pour vous aider à choisir une méthode d'authentification : Google Cloud

Arbre de décision pour choisir une méthode d'authentification en fonction du cas d'utilisation

Ce schéma vous aide à répondre aux questions suivantes :

Exécutez-vous du code dans un environnement de développement à utilisateur unique, tel que votre propre poste de travail, Cloud Shell ou une interface de bureau virtuel ?
1. Si oui, passez à la question 4.
2. Si ce n'est pas le cas, passez à la question 2.
Exécutez-vous du code dans Google Cloud?
1. Si oui, passez à la question 3.
2. Sinon, passez à la question 5.
Exécutez-vous des conteneurs dans Google Kubernetes Engine ?
1. Si oui, utilisez la fédération d'identité de charge de travail pour GKE pour associer des comptes de service aux pods Kubernetes.
2. Sinon, associez un compte de service à la ressource.
Votre cas d'utilisation nécessite-t-il un compte de service ?

Par exemple, vous souhaitez configurer l'authentification et l'autorisation de manière cohérente pour votre application dans tous les environnements.
1. Si ce n'est pas le cas, authentifiez-vous avec des identifiants utilisateur.
2. Si oui, empruntez l'identité d'un compte de service avec des identifiants utilisateur.
Votre charge de travail s'authentifie-t-elle avec un fournisseur d'identité externe compatible avec la fédération d'identité de charge de travail ?
1. Si oui, configurez la fédération d'identité de charge de travail pour permettre aux applications exécutées sur site ou sur d'autres fournisseurs cloud d'utiliser un compte de service.
2. Si ce n'est pas le cas, créez une clé de compte de service.

Méthodes d'autorisation pour les Google Cloud services

L'autorisation pour Google Cloud est principalement gérée par Identity and Access Management (IAM). IAM offre un contrôle précis, par compte principal et par ressource.

Vous pouvez appliquer une autre couche d'autorisation avec les champs d'application OAuth 2.0. Lorsque vous vous authentifiez auprès d'un Google Cloud service, vous pouvez utiliser un champ d'application global qui autorise l'accès à tous Google Cloud les services (https://www.googleapis.com/auth/cloud-platform) ou, si un service le permet, vous pouvez limiter l'accès avec un champ d'application plus restreint. Les champs d'application limités peuvent vous aider à réduire les risques si votre code s'exécute dans des environnements où les jetons compromis peuvent être un problème, comme les applications mobiles.

Les champs d'application d'autorisation acceptés par une méthode d'API sont répertoriés dans la documentation de référence de l'API pour chaque Google Cloud service.

Identifiants par défaut de l'application

Les identifiants par défaut de l'application (ADC) sont une stratégie utilisée par les bibliothèques d'authentification Google permettant d'accéder automatiquement à des identifiants en fonction de l'environnement d'application. Les bibliothèques d'authentification mettent ces identifiants à la disposition des bibliothèques clientes Cloud et des bibliothèques clientes des API Google. Lorsque vous utilisez le service ADC, votre code peut s'exécuter dans un environnement de développement ou bien de production, sans modifier la manière dont votre application s'authentifie auprès des API et services. Google Cloud

Le service ADC peut simplifier votre processus de développement, car il vous permet d'utiliser le même code d'authentification dans divers environnements. Toutefois, si vous utilisez un service en mode express, vous n'avez pas besoin d'utiliser le service ADC.

Avant de pouvoir utiliser les identifiants par défaut de l'application, vous devez fournir vos identifiants au service ADC, en fonction de l'emplacement où vous souhaitez que votre code s'exécute. Le service ADC localise automatiquement les identifiants et obtient un jeton en arrière-plan, ce qui permet à votre code d'authentification de s'exécuter dans différents environnements sans modification. Par exemple, la même version de votre code peut tout aussi bien s'authentifier auprès des Google Cloud API lors de l'exécution sur un poste de travail de développement, que sur Compute Engine.

Vos identifiants gcloud sont différents de ceux que vous fournissez au service ADC à l'aide de gcloud CLI. Pour en savoir plus, consultez la section Configuration de l'authentification gcloud CLI et configuration ADC.

Terminologie

Il est important de connaître les concepts suivants pour évoquer les thèmes de l'authentification et de l'autorisation.

Authentification

L'authentification est le processus visant à déterminer l'identité du compte principal qui tente d'accéder à une ressource.

Autorisation

L'autorisation est le processus permettant de déterminer si le compte principal ou l'application qui tente d'accéder à une ressource a été autorisé pour ce niveau d'accès.

Identifiants

Lorsque ce document utilise le terme compte utilisateur, il fait référence à un compte Google, ou à un compte utilisateur géré par votre fournisseur d'identité et fédéré avec la fédération des identités des employés.

Pour l'authentification, les identifiants sont un objet numérique qui fournit une preuve d'identité. Les mots de passe, les codes PIN et les données biométriques sont autant d'identifiants potentiels, qui peuvent être utilisés selon les exigences de l'application. Par exemple, lorsque vous vous connectez à votre compte utilisateur, vous fournissez votre mot de passe et répondez le cas échéant aux exigences d'authentification à deux facteurs pour prouver que le compte est bien le vôtre et que vous n'êtes pas victime de spoofing de la part d'une personne malintentionnée.

Les jetons ne sont pas des identifiants. Il s'agit d'un objet numérique qui prouve que l'appelant a fourni des identifiants appropriés.

Le type d'identifiant à fournir dépend de la ressource auprès de laquelle vous vous authentifiez.

Les types d'identifiants suivants peuvent être créés dans la Google Cloud console :

Clés API

Vous pouvez utiliser des clés API avec les API qui les acceptent pour accéder à l'API. Les clés API qui ne sont pas liées à un compte de service fournissent un projet, qui est utilisé à des fins de facturation et de quotas. Si la clé API est liée à un compte de service, elle fournit également l'identité et l'autorisation du compte de service (aperçu).

Pour en savoir plus sur les clés API, consultez la page Clés API. Pour en savoir plus sur les clés API liées à un compte de service, consultez la FAQ sur le mode express de Google Cloud.
ID clients OAuth

Les ID clients OAuth permettent d'identifier une application auprès de Google Cloud. Cela est nécessaire lorsque vous souhaitez accéder à des ressources appartenant à vos utilisateurs finaux, ce processus étant également appelé l'autorisation OAuth à trois acteurs (3LO). Pour en savoir plus sur l'obtention et l'utilisation d'un ID client OAuth, consultez la page Configurer OAuth 2.0.
Clés de compte de service

Les clés de compte de service identifient un compte principal (le compte de service) et le projet associé au compte de service.

Remarque : Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites dans la section Bonnes pratiques pour la gestion des clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, il est possible que la création de clé de compte de service soit désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Si vous avez obtenu la clé de compte de service à partir d'une source externe, vous devez la valider avant de l'utiliser. Pour en savoir plus, consultez la section Exigences de sécurité pour les identifiants provenant de sources externes.

Vous pouvez également créer des identifiants à l'aide de gcloud CLI. Ces identifiants incluent les types suivants :

Fichiers ADC locaux
Configurations d'identifiants utilisées par la fédération d'identité de charge de travail
Configurations d'identifiants utilisées par la fédération des identités des employés

Compte principal

Un compte principal est une identité qui peut se voir accorder l'accès à une ressource. Pour l'authentification, les API Google sont compatibles avec deux types de comptes principaux : les comptes utilisateur et les comptes de service.

Le recours à un compte utilisateur ou à un compte de service va dépendre du cas d'utilisation. Vous pouvez combiner les deux, à différentes étapes de votre projet ou dans différents environnements de développement.

Comptes utilisateur

Les comptes utilisateur représentent un développeur, un administrateur ou toute autre personne qui interagit avec les API et les services Google.

Les comptes utilisateur sont gérés en tant que comptes Google, soit avec Google Workspace, soit avec Cloud Identity. Il peut également s'agir de comptes utilisateur gérés par un fournisseur d'identité tiers et soumis à la fédération des identités des employés.

Avec un compte utilisateur, vous pouvez vous authentifier auprès des API et des services Google de différentes manières :

En utilisant gcloud CLI pour configurer les identifiants par défaut de l'application (ADC).
En utilisant vos identifiants utilisateur pour vous connecter à Google Cloud CLI, puis en utilisant cet outil pour accéder aux Google Cloud services
En utilisant vos identifiants utilisateur pour emprunter l'identité d'un compte de service
En utilisant vos identifiants utilisateur pour vous connecter à Google Cloud CLI, puis en utilisant cet outil pour générer des jetons d'accès.

Pour une présentation des méthodes de configuration des identités pour les utilisateurs dans Google Cloud, consultez la page Identités pour les utilisateurs.

Comptes de service

Les comptes de service sont des comptes qui ne représentent pas un utilisateur humain. Ils permettent de gérer l'authentification et l' autorisation lorsqu'une personne n'est pas directement impliquée, par exemple lorsqu'une application doit accéder à des Google Cloud ressources. Les comptes de service sont gérés par IAM.

La liste suivante répertorie certaines méthodes permettant d'utiliser un compte de service pour s'authentifier auprès des API et des services Google, de la plus sécurisée à la moins sécurisée. Pour en savoir plus, consultez la section Choisir la méthode d'authentification adaptée à votre cas d'utilisation sur cette page.

Associez un compte de service géré par l'utilisateur à la ressource et utilisez-le pour vous authentifier.

Il s'agit de la méthode recommandée pour authentifier du code de production exécuté sur Google Cloud.
Utilisez un compte de service pour emprunter l'identité d'un autre compte de service.

L'emprunt de l'identité d'un compte de service vous permet d'accorder temporairement des droits supplémentaires à un compte de service. L'octroi de droits supplémentaires temporaires permet à ce compte de service de bénéficier de l'accès requis, sans devoir acquérir définitivement ces droits supplémentaires.
Utilisez la fédération d'identité de charge de travail pour authentifier les charges de travail exécutées sur site ou auprès d'un autre fournisseur cloud.
Utiliser le compte de service par défaut.

L'utilisation du compte de service par défaut n'est pas recommandée, car celui-ci dispose par défaut de droits élevés, ce qui est contraire au principe du moindre privilège.
Utiliser une clé de compte de service.

Remarque : Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites dans la section Bonnes pratiques pour la gestion des clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, il est possible que la création de clé de compte de service soit désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Si vous avez obtenu la clé de compte de service à partir d'une source externe, vous devez la valider avant de l'utiliser. Pour en savoir plus, consultez la section Exigences de sécurité pour les identifiants provenant de sources externes.

Pour une présentation des méthodes de configuration des identités des charges de travail, y compris les comptes de service, pour Google Cloud, consultez la page Identités pour les charges de travail. Pour connaître les bonnes pratiques, consultez Bonnes pratiques d'utilisation des comptes de service.

Jeton

Pour l'authentification et l'autorisation, un jeton est un objet numérique qui indique qu'un appelant a fourni des identifiants appropriés qui ont été échangés contre ce jeton. Le jeton contient des informations sur l'identité du compte principal qui effectue la requête et le type d'accès pour lequel il est autorisé.

Les jetons peuvent être considérés comme des clés d'hôtel. Lorsque vous arrivez à un hôtel et fournissez les documents attendus à la réception, vous recevez une clé qui vous donne accès à des ressources spécifiques de l'hôtel. Par exemple, la clé peut vous donner accès à votre chambre et à l'ascenseur dédié aux clients, mais vous ne pourrez pas accéder à une autre chambre, ni à l'ascenseur de service.

Les API Google ne sont pas directement compatibles avec les identifiants, à l'exception des clés API. Votre application doit acquérir ou générer un jeton et le fournir à l'API. Il existe plusieurs types de jetons. Pour en savoir plus, consultez la présentation des jetons.

Charge de travail et effectifs

Google Cloud Les produits d'identité et d'accès permettent aux accès automatisés et aux utilisateurs humains d'exploiter les Google Cloud services et ressources. Google Cloud utilise les termes de charge de travail pour l'accès automatisé et effectifs pour l'accès des utilisateurs.

La fédération d'identité de charge de travail vous permet d'accorder aux charges de travail sur site ou multicloud un accès aux ressources Google Cloud sans recourir à une clé de compte de service.

La fédération d'identité des employés vous permet d'utiliser un fournisseur d'identité externe (IdP) pour authentifier et autoriser du personnel (un groupe d'utilisateurs tels que des employés, partenaires et sous-traitants) à l'aide d'IAM, afin que les utilisateurs puissent accéder Google Cloud aux services.

Étape suivante

Découvrez comment les Google Cloud services utilisent IAM pour contrôler l'accès aux Google Cloud ressources.
Découvrez comment fonctionnent les identifiants par défaut de l'application, et comment les configurer pour différents environnements de développement.