Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Grundlagen der Authentifizierung

Bevor Sie mit Google Cloud APIs und Diensten interagieren können, müssen Sie nachweisen, dass Sie die Person sind, für die Sie sich ausgeben. Dieser Prozess des Identitätsnachweises wird als Authentifizierung bezeichnet.

Um sich bei Google Cloudzu authentifizieren, müssen Sie Anmeldedaten als Nachweis Ihrer Identität angeben. Wenn Sie beispielsweise einen Dienst verwenden möchten, authentifizieren Sie sich mit Anmeldedaten wie einem Passwort und einem Einmalcode.

Google Cloud bezeichnet authentifizierte Nutzer als Hauptkonten. Wenn Sie versuchen, auf eine Ressource wie ein Google Cloud Projekt oder einen Cloud Storage-Bucket zuzugreifen, Google Cloudprüft, welche Zugriffsebene Ihr Hauptkonto auf die angeforderte Ressource hat. Dieser Prozess wird als Autorisierung bezeichnet und von einem System namens Identity and Access Management (IAM) verwaltet.

Dieselben Konzepte gelten für Code, der in Ihrem Namen automatisierte Aufgaben ausführt. Dieser Code wird als Arbeitslast bezeichnet. Eine Arbeitslast muss Anmeldedaten angeben, um ihre Identität nachzuweisen und sich als Hauptkonto zu authentifizieren. Anschließend kann Google Cloud festlegen, welche Zugriffsebene die Arbeitslast auf die angeforderten Ressourcen hat.

Hauptkontotypen

Es gibt verschiedene Arten von Hauptkonten, als die Sie sich authentifizieren können. Möglicherweise verwenden Sie sogar verschiedene Hauptkontotypen in verschiedenen Phasen einer Aufgabe oder in verschiedenen Entwicklungsumgebungen.

Die primären Hauptkontotypen und die Anmeldedaten, die für die Authentifizierung erforderlich sind, sind:

Nutzerkonten: Das sind Google-Konten, die für die interaktive Arbeit von Personen vorgesehen sind, z. B. für gelegentliche Verwaltungsaufgaben, die nicht programmatische Konfiguration von Google Cloud Diensten, Tests, Experimente und die Beobachtbarkeit.

Sie authentifizieren sich als Nutzerkonto mit Nutzeranmeldedaten wie einem Passwort und einem Einmal code.
Dienstkonten: Das sind Konten, die speziell für sind und von Arbeitslasten verwendet werden können, um auf Dienste oder Ressourcen zuzugreifen. Google Cloud In der Regel authentifizieren Sie sich nicht direkt als Dienstkonto direkt. Stattdessen verknüpfen Sie ein Dienstkonto mit einer Ressource wie einer Compute Engine VM oder verwenden die Identitätsübernahme des Dienstkontos.
Föderierte Hauptkonten: Das sind Identitäten, die auf Nutzer- oder Dienstkonten in einem externen Identitätsanbieter verweisen. Es gibt zwei Arten von föderierten Hauptkonten, die von Google Cloudunterstützt werden und ähnliche Namen haben:
- Mitarbeiteridentitätsföderation: Ermöglicht es Mitarbeitern, sich mit Identitäten, die von einem externen Identitätsanbieter verwaltet werden, bei anzumelden. Google Cloud Wenn in Ihrer Organisation bereits die Einmalanmeldung (Single Sign-On, SSO) eingerichtet ist können Sie diese Art von Identität verwenden, um sich bei zu authentifizieren Google Cloud.
  
  Ihr Identitätsanbieter muss OpenID Connect (OIDC) oder SAML 2.0 unterstützen, um die Mitarbeiteridentitätsföderation zu verwenden.
- Identitätsföderation von Arbeitslasten: Ermöglicht es Arbeitslasten, die außerhalb von Google Cloud ausgeführt werden, mit Google Cloud Ressourcen zu arbeiten.
  
  Sie können die Identitätsföderation von Arbeitslasten mit Arbeitslasten verwenden, die sich mit X.509-Clientzertifikaten authentifizieren, die in Amazon Web Services (AWS) oder Azure ausgeführt werden, lokalem Active Directory, Bereitstellungsdiensten wie GitHub und GitLab und mit einem beliebigen Identitätsanbieter, der OpenID Connect (OIDC) oder Security Assertion Markup Language (SAML) V2.0 unterstützt.

Weitere Informationen zu diesen und anderen unterstützten Hauptkontotypen in Google Cloud, finden Sie unter Hauptkontotypen.

Organisation für die Authentifizierung konfigurieren Google Cloud

Wenn Sie die Authentifizierung für Ihre Google Cloud Organisation einrichten, müssen Sie möglicherweise vorhandene Systeme und Workflows in integrieren Google Cloud:

Wenn Sie einen vorhandenen Identitätsanbieter verwenden möchten, müssen Sie die Mitarbeiteridentitätsföderation einrichten.
Wenn Sie Arbeitslasten haben, die außerhalb von Google Cloud ausgeführt werden und Zugriff auf Google Cloud Ressourcen benötigen, müssen Sie die Identitätsföderation von Arbeitslasteneinrichten.

Wir empfehlen außerdem, die folgenden Schritte auszuführen, um Ihre Google Cloud Umgebung zu schützen:

Achten Sie darauf, dass die Multi-Faktor-Authentifizierung aktiviert ist für Ihre Nutzer.
Prüfen Sie, ob Sie die Einstellungen für die erneute Authentifizierung ändern müssen.
Erstellen Sie Richtlinien zum Verwalten von API-Schlüsseln.
Erstellen Sie Richtlinien für die Verwaltung von Dienstkontoschlüsseln.

Personen und Arbeitslasten authentifizieren

Wie Sie sich bei Google Cloud authentifizieren, hängt von den APIs und Diensten ab, die Sie verwenden, und von der Art und Weise, wie Sie mit diesen APIs und Diensten interagieren.

Personen authentifizieren

Bei manueller, interaktiver Arbeit wie gelegentlichen Verwaltungsaufgaben, dem Einrichten von Ressourcen, dem Ändern von Konfigurationen, Experimenten und dem Durchsuchen von Logs authentifizieren Sie sich mit den Anmeldedaten Ihres Nutzerkontos.

Console

Für die interaktive Arbeit in der Google Cloud Console authentifizieren Sie sich, indem Sie sich mit Ihren Nutzeranmeldedaten in der Weboberfläche anmelden.

Rufen Sie die Google Cloud Console auf.

Dieselben Anmeldedaten für Ihre Google Cloud Console-Sitzung werden für Cloud Shell verwendet, wo Sie auf die gcloud CLI zugreifen können.

gcloud

Nachdem Sie die gcloud CLI auf Ihrem lokalen Gerät installiert haben, können Sie sich mit Ihren Nutzeranmeldedaten bei authentifizieren Google Cloud indem Sie den folgenden Befehl in Ihrem Terminal ausführen:

gcloud auth login

Nach der Authentifizierung verwenden nachfolgende gcloud-Befehle das angemeldete Hauptkonto, um Anfragen zu stellen.

Informationen zur Authentifizierung mit Anmeldedaten für die Mitarbeiteridentitätsföderation, Anmeldedaten für die Identitätsföderation von Arbeitslasten oder Dienstkontoschlüsseln finden Sie unter Authentifizierung für die gcloud CLI.

Arbeitslasten authentifizieren

Unabhängig davon, ob Sie Code auf Ihrem lokalen Gerät, in Google Cloud, lokal oder in einer anderen Cloud entwickeln und ausführen, ist die flexibelste und portabelste Methode zum Authentifizieren Ihrer Arbeitslast, Anmeldedaten über einen Mechanismus namens Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) bereitzustellen.

Bibliotheken, die ADC implementieren (z. B. die Google Cloud Clientbibliotheken), suchen an bekannten Orten in der Umgebung, in der sie ausgeführt werden, nach Anmeldedaten. Wenn Sie also ändern, wo Ihr Code ausgeführt wird, müssen Sie den Code selbst nicht ändern, sondern nur die Anmeldedaten, die für diese Umgebung verwendet werden.

Wenn Sie beispielsweise lokal entwickeln, können Sie Ihre Umgebung so einrichten, dass ADC Ihre Nutzeranmeldedaten für die Authentifizierung verwendet. Wenn Ihr Code für die Produktion bereit ist, können Sie ihn unverändert auf einer Compute Engine-VM-Instanz bereitstellen und die Umgebung so einrichten, dass stattdessen kurzlebige Dienstkonto-Anmeldedaten für die Authentifizierung verwendet werden.

In den folgenden Fällen können Sie ADC nicht zur Authentifizierung verwenden:

Bei der Authentifizierung der gcloud CLI.
Bei Verwendung eines API-Schlüssels. API-Schlüssel können nur mit bestimmten APIs verwendet werden.

Informationen zum Einrichten von ADC für bestimmte Umgebungen finden Sie unter Standardanmeldedaten für Anwendungen einrichten.

Nächste Schritte

Weitere Informationen zu den verschiedenen Authentifizierungsmethoden für Google Cloud.
Informationen dazu, wie Sie steuern, worauf ein Hauptkonto in Google Cloudzugreifen kann, finden Sie unter Autorisierung und Zugriffssteuerung.