Bevor Sie mit Google Cloud APIs und Diensten interagieren können, müssen Sie nachweisen, dass Sie die Person sind, für die Sie sich ausgeben. Dieser Prozess des Identitätsnachweises wird als Authentifizierung bezeichnet.
Um sich bei Google Cloudzu authentifizieren, müssen Sie Anmeldedaten als Nachweis Ihrer Identität angeben. Wenn Sie beispielsweise einen Dienst verwenden möchten, authentifizieren Sie sich möglicherweise mit Anmeldedaten wie einem Passwort und einem Einmalcode.
Google Cloud bezeichnet authentifizierte Nutzer als Hauptkonten. Wenn Sie versuchen, auf eine Ressource wie ein Projekt oder einen Speicher-Bucket zuzugreifen, wird geprüft, welche Zugriffsebene Ihr Hauptkonto auf die angeforderte Ressource hat. Google Cloud Google CloudDieser Prozess wird als Autorisierung bezeichnet und von einem System namens Identity and Access Management (IAM) verwaltet.
Dieselben Konzepte gelten für Code, der in Ihrem Namen automatisierte Aufgaben ausführt. Dieser Code wird als Arbeitslast bezeichnet. Eine Arbeitslast muss Anmeldedaten angeben, um ihre Identität nachzuweisen und sich als Hauptkonto zu authentifizieren. Anschließend kann ermitteln welche Zugriffsebene die Arbeitslast auf die angeforderten Ressourcen hat. Google Cloud
Hauptkontotypen
Es gibt verschiedene Arten von Hauptkonten, als die Sie sich authentifizieren können. Sie können sogar verschiedene Hauptkontotypen in verschiedenen Phasen einer Aufgabe oder in verschiedenen Entwicklungsumgebungen verwenden.
Die primären Hauptkontotypen und die Anmeldedaten, die für die Authentifizierung erforderlich sind, sind:
Nutzerkonten: Das sind Google-Konten, die von Personen für interaktive Aufgaben verwendet werden, z. B. gelegentliche Verwaltungsaufgaben, nicht programmatische Konfiguration von Google Cloud Diensten, Tests, Experimente und Beobachtbarkeit.
Sie authentifizieren sich als Nutzerkonto mit Nutzeranmeldedaten wie einem Passwort und einem Einmalcode.
Dienstkonten: Das sind interne Konten, die von Google Cloud Arbeitslasten verwendet werden können, um auf Dienste oder Ressourcen zuzugreifen. In der Regel authentifizieren Sie sich nicht direkt als Dienstkonto. Stattdessen verknüpfen Sie ein Dienstkonto mit einer Ressource wie einer Compute Engine-VM oder verwenden die Dienstkonto-Identitätswechsel.
In den meisten Fällen empfehlen wir, kurzlebige Anmeldedaten für Dienstkonten zu verwenden, um ein Dienstkonto zu authentifizieren.
Verbundidentitäten: Das sind Identitäten, die auf Nutzer- oder Dienst konten in einem externen Identitätsanbieter verweisen. Es gibt zwei Arten von Verbundidentitäten, die von Google Cloudunterstützt werden und ähnliche Namen haben:
Mitarbeiteridentitätsföderation: Ermöglicht es menschlichen Nutzern, sich mit Identitäten bei anzumelden, die von einem externen Identitätsanbieter verwaltet werden. Google Cloud Wenn in Ihrer Organisation bereits die Einmalanmeldung (Single Sign-On, SSO) eingerichtet ist, können Sie diesen Identitätstyp verwenden, um sich bei zu authentifizieren Google Cloud.
Ihr Identitätsanbieter muss OpenID Connect (OIDC) oder SAML 2.0 unterstützen, um die Mitarbeiteridentitätsföderation zu verwenden.
Identitätsföderation von Arbeitslasten: Ermöglicht es Arbeitslasten, die außerhalb von ausgeführt werden, mit Google Cloud Ressourcen zu arbeiten. Google Cloud
Sie können die Identitätsföderation von Arbeitslasten mit Arbeitslasten verwenden, die sich mit X.509-Clientzertifikatenauthentifizieren; die in Amazon Web Services (AWS) oder Azureausgeführt werden; lokalem Active Directory; Bereitstellungsdiensten wie GitHub und GitLab; und mit einem beliebigen Identitätsanbieter, der OpenID Connect (OIDC) oder Security Assertion Markup Language (SAML) V2.0unterstützt.
Weitere Informationen zu diesen und anderen unterstützten Hauptkontotypen in Google Cloud, finden Sie unter Hauptkontotypen.
Organisation für die Authentifizierung konfigurieren Google Cloud
Wenn Sie die Authentifizierung für Ihre Google Cloud Organisation einrichten, müssen Sie möglicherweise vorhandene Systeme und Workflows in integrieren Google Cloud:
Wenn Sie einen vorhandenen Identitätsanbieter verwenden möchten, müssen Sie die Mitarbeiteridentitätsföderation einrichten.
Wenn Sie Arbeitslasten außerhalb von Google Cloud haben, die Zugriff auf Google Cloud Ressourcen benötigen, müssen Sie die Identitätsföderation von Arbeitslasten einrichten.
Außerdem empfehlen wir, Folgendes zu tun, um Ihre Google Cloud Umgebung zu schützen:
Achten Sie darauf, dass die Multi-Faktor-Authentifizierung aktiviert ist für Ihre Nutzer.
Prüfen Sie, ob Sie die Einstellungen für die erneute Authentifizierung ändern müssen.
Erstellen Sie Richtlinien zum Verwalten von API-Schlüsseln.
Erstellen Sie Richtlinien für die Verwaltung von Dienstkontoschlüsseln.
Personen und Arbeitslasten authentifizieren
Wie Sie sich bei Google Cloud authentifizieren, hängt von den APIs und Diensten ab, die Sie verwenden, und von der Art und Weise, wie Sie mit diesen APIs und Diensten interagieren.
Personen authentifizieren
Bei manuellen, interaktiven Aufgaben wie gelegentlichen Verwaltungsaufgaben, dem Einrichten von Ressourcen, dem Ändern von Konfigurationen, Experimenten und dem Durchsuchen von Logs authentifizieren Sie sich mit den Anmeldedaten Ihres Nutzerkontos.
Console
Für interaktive Aufgaben in der Google Cloud Console authentifizieren Sie sich, indem Sie sich mit Ihren Nutzeranmeldedaten in der Weboberfläche anmelden.
Rufen Sie die Google Cloud Console auf.
Dieselben Anmeldedaten für Ihre Google Cloud Console-Sitzung werden für Cloud Shell verwendet, wo Sie auf die gcloud CLI zugreifen können.
gcloud
Nachdem Sie die gcloud CLI auf Ihrem lokalen Gerät installiert haben, können Sie sich mit Ihren Nutzeranmeldedaten bei authentifizieren Google Cloud indem Sie den folgenden Befehl in Ihrem Terminal ausführen:
gcloud auth login
Nach der Authentifizierung verwenden nachfolgende gcloud-Befehle das angemeldete Hauptkonto, um Anfragen zu stellen.
Informationen zur Authentifizierung mit Anmeldedaten für die Mitarbeiteridentitätsföderation, Anmeldedaten für die Identitätsföderation von Arbeitslasten oder Dienstkontoschlüsseln finden Sie unter Für die Verwendung der gcloud CLI authentifizieren.
Arbeitslasten authentifizieren
Unabhängig davon, ob Sie Code auf Ihrem lokalen Gerät, in Google Cloud, lokal oder in einer anderen Cloud entwickeln und ausführen, ist die flexibelste und portabelste Methode zum Authentifizieren Ihrer Arbeitslast, Anmeldedaten über einen Mechanismus namens Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) bereitzustellen.
Bibliotheken, die ADC implementieren (z. B. die Google Cloud Clientbibliotheken), suchen an bekannten Orten in der Umgebung, in der sie ausgeführt werden, nach Anmeldedaten. Wenn Sie also ändern, wo Ihr Code ausgeführt wird, müssen Sie den Code selbst nicht ändern, sondern nur die Anmeldedaten, die für diese Umgebung verwendet werden.
Wenn Sie beispielsweise lokal entwickeln, können Sie Ihre Umgebung so einrichten, dass ADC Ihre Nutzeranmeldedaten für die Authentifizierung verwendet. Wenn Ihr Code für die Produktion bereit ist, können Sie ihn unverändert in einer Compute Engine-VM-Instanz bereitstellen und die Umgebung so einstellen, dass stattdessen kurzlebige Anmeldedaten für Dienstkonten zur Authentifizierung verwendet werden.
In den folgenden Fällen können Sie ADC nicht zur Authentifizierung verwenden:
Bei der Authentifizierung der gcloud CLI.
Bei Verwendung eines API-Schlüssels. API-Schlüssel können nur mit bestimmten APIs verwendet werden.
Informationen zum Einrichten von ADC für bestimmte Umgebungen finden Sie unter Standardanmeldedaten für Anwendungen einrichten.
Nächste Schritte
Weitere Informationen zu den verschiedenen Authentifizierungsmethoden für Google Cloud.
Informationen dazu, wie Sie steuern, worauf ein Hauptkonto in Google Cloudzugreifen kann, finden Sie unter Autorisierung und Zugriffssteuerung.