Bevor Sie mit Google Cloud -APIs und -Diensten interagieren können, müssen Sie nachweisen, dass Sie die Person sind, die Sie vorgeben zu sein. Dieser Prozess, bei dem Sie Ihre Identität nachweisen, wird als Authentifizierung bezeichnet.
Um sich bei Google Cloudzu authentifizieren, müssen Sie Anmeldedaten als Identitätsnachweis angeben. Wenn Sie beispielsweise einen Dienst nutzen möchten, authentifizieren Sie sich möglicherweise mit Anmeldedaten wie einem Passwort und einem Einmalcode.
InGoogle Cloud werden authentifizierte Nutzer als Hauptkonten bezeichnet. Wenn Sie versuchen, auf eine Ressource wie ein Google Cloud Projekt oder einen Speicher-Bucket Google Cloudzuzugreifen, wird geprüft, welche Zugriffsebene Ihr Hauptkonto für die angeforderte Ressource hat. Dieser Vorgang wird als Autorisierung bezeichnet und von einem System namens Identity and Access Management (IAM) verwaltet.
Diese Konzepte gelten auch für Code, der in Ihrem Namen automatisierte Aufgaben ausführt, sogenannte Arbeitslasten. Eine Arbeitslast muss Anmeldedaten angeben, um ihre Identität nachzuweisen und sich als Hauptkonto zu authentifizieren. Danach kann Google Cloud feststellen, welche Zugriffsebene die Arbeitslast auf die angeforderten Ressourcen hat.
Hauptkontotypen
Es gibt verschiedene Arten von Identitäten, als die Sie sich authentifizieren können. Möglicherweise verwenden Sie sogar verschiedene Prinzipaltypen in verschiedenen Phasen einer Aufgabe oder in verschiedenen Entwicklungsumgebungen.
Die primären Hauptkontotypen und die Anmeldedaten, die für die Authentifizierung erforderlich sind, sind:
Nutzerkonten: Das sind Google-Konten, die für interaktive Aufgaben von Menschen vorgesehen sind, z. B. gelegentliche administrative Aufgaben, nicht programmatische Konfiguration von Google Cloud -Diensten, Tests, Experimente und Beobachtbarkeit.
Sie authentifizieren sich als Nutzerkonto mit Nutzeranmeldedaten wie einem Passwort und einem Einmalcode.
Dienstkonten: Diese Konten sind intern für Google Cloud und können von Arbeitslasten verwendet werden, um auf Dienste oder Ressourcen zuzugreifen. Normalerweise authentifizieren Sie sich nicht direkt als Dienstkonto. Stattdessen hängen Sie ein Dienstkonto an eine Ressource wie eine Compute Engine-VM an oder verwenden die Identitätsübernahme von Dienstkonten.
In den meisten Fällen empfehlen wir die Verwendung von kurzlebigen Anmeldedaten für Dienstkonten zur Authentifizierung eines Dienstkontos.
Föderierte Identitäten: Diese Identitäten verweisen auf Nutzer- oder Dienstkonten bei einem externen Identitätsanbieter. Google Cloudunterstützt zwei Arten von föderierten Identitäten, die ähnlich heißen:
Mitarbeiteridentitätsföderation: Ermöglicht es menschlichen Nutzern, sich mit Identitäten, die von einem externen Identitätsanbieter verwaltet werden, in Google Cloud anzumelden. Wenn in Ihrer Organisation bereits die Einmalanmeldung (Single Sign-On, SSO) eingerichtet ist, können Sie diesen Identitätstyp möglicherweise verwenden, um sich bei Google Cloudzu authentifizieren.
Ihr Identitätsanbieter muss OpenID Connect (OIDC) oder SAML 2.0 unterstützen, damit Sie die Mitarbeiteridentitätsföderation verwenden können.
Workload Identity-Föderation: Ermöglicht es Arbeitslasten, die außerhalb von Google Cloud ausgeführt werden, auf Google CloudRessourcen zuzugreifen.
Sie können die Workload Identity-Föderation mit Arbeitslasten verwenden, die sich mit X.509-Clientzertifikaten authentifizieren, die auf Amazon Web Services (AWS) oder Azure, in lokalen Active Directory-Bereitstellungsdiensten wie GitHub und GitLab und mit einem beliebigen Identitätsanbieter ausgeführt werden, der OpenID Connect (OIDC) oder Security Assertion Markup Language (SAML) V2.0 unterstützt.
Weitere Informationen zu diesen und anderen unterstützten Hauptkontotypen in Google Cloudfinden Sie unter Hauptkontotypen.
Google Cloud -Organisation für die Authentifizierung konfigurieren
Wenn Sie die Authentifizierung für Ihre Google Cloud Organisation einrichten, müssen Sie möglicherweise vorhandene Systeme und Workflows in Google Cloudeinbinden:
Wenn Sie einen vorhandenen Identitätsanbieter verwenden möchten, müssen Sie die Mitarbeiteridentitätsföderation einrichten.
Wenn Sie Arbeitslasten außerhalb von Google Cloud ausführen, die Zugriff aufGoogle Cloud -Ressourcen benötigen, müssen Sie die Workload Identity-Föderation einrichten.
Wir empfehlen Ihnen außerdem, Folgendes zu tun, um Ihre Google Cloud-Umgebung zu schützen:
Achten Sie darauf, dass die Multi-Faktor-Authentifizierung für Ihre Nutzer aktiviert ist.
Prüfen Sie, ob Sie die Einstellungen für die erneute Authentifizierung ändern müssen.
Erstellen Sie Richtlinien für die Verwaltung von API-Schlüsseln.
Erstellen Sie Richtlinien zum Verwalten von Dienstkontoschlüsseln.
Nutzer und Arbeitslasten authentifizieren
Wie Sie sich bei Google Cloud authentifizieren, hängt von den APIs und Diensten ab, die Sie verwenden, und davon, wie Sie mit diesen APIs und Diensten interagieren.
Menschen authentifizieren
Bei manuellen, interaktiven Aufgaben wie gelegentlichen administrativen Aufgaben, dem Einrichten von Ressourcen, dem Ändern von Konfigurationen, dem Ausführen von Tests und dem Durchsuchen von Logs verwenden Sie die Anmeldedaten Ihres Nutzerkontos zur Authentifizierung.
Console
Für interaktive Aufgaben in der Google Cloud -Konsole authentifizieren Sie sich, indem Sie sich mit Ihren Nutzeranmeldedaten in der Weboberfläche anmelden.
Rufen Sie die Google Cloud Console auf.
Für Cloud Shell werden dieselben Anmeldedaten für Ihre Google Cloud -Konsolensitzung verwendet. Dort können Sie auf die gcloud CLI zugreifen.
gcloud
Nachdem Sie die gcloud CLI auf Ihrem lokalen Gerät installiert haben, können Sie sich mit Ihren Nutzeranmeldedaten bei Google Cloud authentifizieren, indem Sie den folgenden Befehl in Ihrem Terminal ausführen:
gcloud auth login
Nach der Authentifizierung wird für nachfolgende gcloud-Befehle das angemeldete Konto verwendet, um Anfragen zu stellen.
Informationen zur Authentifizierung mit Anmeldedaten der Identitätsföderation von Arbeitskräften, Anmeldedaten der Identitätsföderation von Arbeitslasten oder Dienstkontoschlüsseln finden Sie unter Zur Verwendung der gcloud CLI authentifizieren.
Arbeitslasten authentifizieren
Unabhängig davon, ob Sie Code auf Ihrem lokalen Gerät, inGoogle Cloud, lokal oder in einer anderen Cloud entwickeln und ausführen, ist die flexibelste und portierbarste Methode zum Authentifizieren Ihrer Arbeitslast das Bereitstellen von Anmeldedaten über einen Mechanismus namens Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC).
Bibliotheken, die ADC implementieren (z. B. die Google Cloud -Clientbibliotheken), suchen in bekannten Speicherorten in der Umgebung, in der sie ausgeführt werden, nach Anmeldedaten. Wenn Sie ändern, wo Ihr Code ausgeführt wird, müssen Sie also nicht den Code selbst ändern, sondern nur die Anmeldedaten, die für diese Umgebung verwendet werden.
Wenn Sie beispielsweise lokal entwickeln, können Sie Ihre Umgebung so einrichten, dass ADC Ihre Nutzeranmeldedaten zur Authentifizierung verwendet. Wenn Ihr Code für die Produktion bereit ist, können Sie ihn unverändert auf einer Compute Engine-VM-Instanz bereitstellen und die Umgebung so einrichten, dass stattdessen kurzlebige Dienstkonto-Anmeldedaten zur Authentifizierung verwendet werden.
In den folgenden Szenarien können Sie ADC nicht zur Authentifizierung verwenden:
Wenn Sie die gcloud CLI authentifizieren.
Wenn Sie einen API-Schlüssel verwenden. API-Schlüssel können nur mit bestimmten APIs verwendet werden.
Informationen zum Einrichten von ADC für bestimmte Umgebungen finden Sie unter Standardanmeldedaten für Anwendungen einrichten.
Nächste Schritte
Weitere Informationen zu den verschiedenen Authentifizierungsmethoden für Google Cloud
Informationen dazu, wie Sie steuern, worauf ein Prinzipal in Google Cloudzugreifen kann, finden Sie unter Autorisierung und Zugriffssteuerung.