Avant de pouvoir interagir avec les API et les services Google Cloud , vous devez prouver votre identité. Ce processus de validation de votre identité s'appelle l'authentification.
Pour vous authentifier auprès de Google Cloud, vous devez fournir des identifiants comme preuve de votre identité. Par exemple, pour utiliser un service, vous pouvez vous authentifier à l'aide d'identifiants tels qu'un mot de passe et un code à usage unique.
Google Cloud désigne les utilisateurs authentifiés sous le nom de comptes principaux. Lorsque vous tentez d'accéder à une ressource telle qu'un projet Google Cloud ou un bucket de stockage, Google Cloudvérifie le niveau d'accès de votre compte principal à la ressource demandée. Ce processus est appelé autorisation et est géré par un système appelé Identity and Access Management (IAM).
Ces mêmes concepts s'appliquent au code qui effectue des tâches automatisées en votre nom, appelées charges de travail. Une charge de travail doit fournir des identifiants pour prouver son identité et s'authentifier en tant que principal. Google Cloud peut ensuite déterminer le niveau d'accès de la charge de travail aux ressources qu'elle a demandées.
Types de comptes principaux
Vous pouvez vous authentifier en tant que différents types de comptes principaux. Vous pouvez même utiliser différents types de comptes principaux à différentes étapes d'une tâche ou dans différents environnements de développement.
Les principaux types de comptes principaux et les identifiants qu'ils requièrent pour s'authentifier sont les suivants :
Comptes utilisateur : il s'agit de comptes Google destinés aux utilisateurs humains pour effectuer des tâches interactives, telles que des tâches administratives ponctuelles, la configuration non programmatique des services Google Cloud , les tests, les expérimentations et l'observabilité.
Vous vous authentifiez en tant que compte utilisateur avec des identifiants utilisateur, tels qu'un mot de passe et un code à usage unique.
Comptes de service : il s'agit de comptes internes à Google Cloud que les charges de travail peuvent utiliser pour accéder à des services ou des ressources. En règle générale, vous ne vous authentifiez pas directement en tant que compte de service. À la place, vous associez un compte de service à une ressource telle qu'une VM Compute Engine ou utilisez l'usurpation d'identité d'un compte de service.
Dans la plupart des cas, nous vous recommandons d'utiliser des identifiants de compte de service éphémères pour authentifier un compte de service.
Identités fédérées : il s'agit d'identités qui font référence à des comptes utilisateur ou de service dans un fournisseur d'identité externe. Google Cloudaccepte deux types d'identités fédérées aux noms similaires :
Fédération d'identité de personnel : permet aux utilisateurs humains de se connecter à Google Cloud avec des identités gérées par un fournisseur d'identité externe. Si votre organisation a déjà configuré l'authentification unique (SSO), vous pouvez utiliser ce type d'identité pour vous authentifier auprès de Google Cloud.
Pour utiliser la fédération d'identité de personnel, votre fournisseur d'identité doit être compatible avec OpenID Connect (OIDC) ou SAML 2.0.
Fédération d'identité de charge de travail : permet aux charges de travail exécutées en dehors de Google Cloud d'opérer sur les ressources Google Cloud.
Vous pouvez utiliser la fédération d'identité de charge de travail avec les charges de travail qui s'authentifient à l'aide de certificats client X.509, qui s'exécutent sur Amazon Web Services (AWS) ou Azure, sur Active Directory sur site, avec des services de déploiement tels que GitHub et GitLab, et avec tout fournisseur d'identité compatible avec OpenID Connect (OIDC) ou Security Assertion Markup Language (SAML) V2.0.
Pour en savoir plus sur ces types de comptes principaux et d'autres types acceptés dans Google Cloud, consultez Types de comptes principaux.
Configurer votre organisation Google Cloud pour l'authentification
Lorsque vous configurez l'authentification pour votre organisation Google Cloud , vous devrez peut-être intégrer les systèmes et workflows existants à Google Cloud :
Si vous disposez d'un fournisseur d'identité existant que vous souhaitez utiliser, vous devez configurer la fédération d'identité de personnel.
Si vous avez des charges de travail exécutées en dehors de Google Cloud qui doivent accéder aux ressourcesGoogle Cloud , vous devez configurer la fédération d'identité de charge de travail.
Nous vous recommandons également d'effectuer les opérations suivantes pour sécuriser votre environnement Google Cloud :
Assurez-vous que l'authentification multifacteur est activée pour vos utilisateurs.
Vérifiez si vous devez modifier les paramètres de réauthentification.
Créez des règles pour gérer les clés API.
Créez des règles pour gérer les clés de compte de service.
Authentifier les utilisateurs et les charges de travail
La façon dont vous vous authentifiez auprès de Google Cloud dépend des API et des services que vous utilisez, ainsi que de la manière dont vous interagissez avec ces API et services.
Authentifier les utilisateurs
Lorsque vous effectuez des tâches manuelles et interactives, comme des tâches administratives ponctuelles, la configuration de ressources, la modification de configurations, des tests et la navigation dans les journaux, vous utilisez les identifiants de votre compte utilisateur pour vous authentifier.
Console
Pour les tâches interactives dans la console Google Cloud , vous vous authentifiez en vous connectant à l'interface Web avec vos identifiants utilisateur.
Accéder à la console Google Cloud
Les mêmes identifiants que ceux de votre session de console Google Cloud sont utilisés pour Cloud Shell, où vous pouvez accéder à la gcloud CLI.
gcloud
Après avoir installé la gcloud CLI sur votre appareil local, vous pouvez utiliser vos identifiants utilisateur pour vous authentifier auprès de Google Cloud en exécutant la commande suivante dans votre terminal :
gcloud auth login
Une fois l'authentification effectuée, les commandes gcloud ultérieures utilisent le principal connecté pour effectuer leurs requêtes.
Pour vous authentifier avec des identifiants Workforce Identity Federation, des identifiants Workload Identity Federation ou des clés de compte de service, consultez S'authentifier pour utiliser gcloud CLI.
Authentifier les charges de travail
Que vous développiez et exécutiez du code sur votre appareil local, dansGoogle Cloud, sur site ou dans un autre cloud, le moyen le plus flexible et portable d'authentifier votre charge de travail consiste à fournir des identifiants via un mécanisme appelé identifiants par défaut de l'application (ADC).
Les bibliothèques qui implémentent les ADC (comme les bibliothèques clientesGoogle Cloud ) recherchent les identifiants dans les emplacements connus de l'environnement dans lequel elles sont exécutées. Cela signifie que si vous modifiez l'emplacement d'exécution de votre code, vous n'avez pas besoin de modifier le code lui-même, mais uniquement les identifiants utilisés pour cet environnement.
Par exemple, lorsque vous développez en local, vous pouvez configurer votre environnement de sorte que le service ADC utilise vos identifiants utilisateur pour l'authentification. Lorsque votre code est prêt pour la production, vous pouvez le déployer tel quel sur une instance de VM Compute Engine et configurer l'environnement pour qu'il utilise des identifiants de compte de service à durée de vie limitée pour l'authentification.
Vous ne pouvez pas utiliser ADC pour vous authentifier dans les cas suivants :
Lors de l'authentification de la gcloud CLI.
Lorsque vous utilisez une clé API. Les clés API ne peuvent être utilisées qu'avec des API spécifiques.
Pour savoir comment configurer ADC pour des environnements spécifiques, consultez Configurer les identifiants par défaut de l'application.
Étapes suivantes
En savoir plus sur les différentes méthodes d'authentification pour Google Cloud
Pour comprendre comment contrôler l'accès d'un principal dans Google Cloud, consultez Autorisation et contrôle des accès.