Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יסודות האימות

כדי להשתמש בממשקי API ובשירותים של Google Cloud , צריך להוכיח שאתם מי שאתם אומרים שאתם. התהליך הזה של הוכחת הזהות נקרא אימות.

כדי לבצע אימות ב- Google Cloud, צריך לספק פרטי כניסה כהוכחה לזהות. לדוגמה, כדי להשתמש בשירות מסוים, יכול להיות שתצטרכו לבצע אימות באמצעות פרטי כניסה כמו סיסמה וקוד חד-פעמי.

‫Google Cloud מתייחס למשתמשים מאומתים כאל גורמים ראשיים. כשמנסים לגשת למשאב כמו Google Cloud פרויקט או קטגוריית אחסון, Google Cloudנבדקת רמת הגישה של חשבון המשתמש למשאב המבוקש. התהליך הזה נקרא הרשאה, והוא מתבצע על ידי מערכת שנקראת ניהול זהויות והרשאות גישה (IAM).

אותם מושגים חלים על קוד שמבצע משימות אוטומטיות בשמכם, שנקראות עומסי עבודה. עומס עבודה צריך לספק פרטי כניסה כדי להוכיח את הזהות שלו ולאמת את עצמו כחשבון ראשי. לאחר מכן, Google Cloud יכול לקבוע איזו רמת גישה יש לעומס העבודה למשאבים שהוא ביקש.

סוגים של חשבונות משתמשים

יש סוגים שונים של חשבונות משתמשים שאפשר לבצע אימות בתורם. יכול להיות שתשתמשו בסוגים שונים של ישויות בשלבים שונים של משימה, או בסביבות פיתוח שונות.

סוגי החשבונות העיקריים ופרטי הכניסה שנדרשים לאימות כוללים את האפשרויות הבאות:

חשבונות משתמשים: אלה חשבונות Google שמיועדים לאנשים כדי לבצע עבודה אינטראקטיבית, כמו משימות אדמיניסטרטיביות אקראיות, הגדרה לא תוכניתית של שירותי Google Cloud , בדיקה, ניסויים ויכולת צפייה.

אתם מבצעים אימות כחשבון משתמש באמצעות פרטי כניסה של משתמש, כמו סיסמה וקוד חד-פעמי.
חשבונות שירות: אלה חשבונות ספציפיים ל- Google Cloud שעומסי עבודה יכולים להשתמש בהם כדי לגשת לשירותים או למשאבים. בדרך כלל לא מבצעים אימות ישירות כחשבון שירות. במקום זאת, אתם יכולים לצרף חשבון שירות למשאב כמו מכונה וירטואלית ב-Compute Engine, או להשתמש בהתחזות לחשבון שירות.
חשבונות ראשיים מאוחדים: אלה זהויות שמפנות לחשבונות משתמשים או לחשבונות שירות בספק זהויות חיצוני. יש שני סוגים של ישויות מאוחדות שנתמכות על ידי Google Cloud, עם שמות דומים:
- איחוד שירותי אימות הזהות של כוח עבודה: מאפשר למשתמשים אנושיים להיכנס ל- Google Cloud באמצעות זהויות שמנוהלות על ידי ספק זהויות חיצוני. אם בארגון שלכם כבר מוגדרת כניסה יחידה (SSO), יכול להיות שתשתמשו בסוג הזה של זהות כדי לבצע אימות ל- Google Cloud.
  
  כדי להשתמש באיחוד שירותי אימות הזהות של כוח העבודה, ספק הזהויות שלכם צריך לתמוך ב-OpenID Connect ‏ (OIDC) או ב- SAML 2.0.
- איחוד שירותי אימות הזהות של עומסי עבודה: מאפשר לעומסי עבודה שפועלים מחוץ ל- Google Cloud לפעול במשאבי Google Cloud .
  
  אתם יכולים להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה עם עומסי עבודה שעוברים אימות באמצעות אישורי לקוח X.509, שפועלים ב- Amazon Web Services ‏ (AWS) או ב-Azure, ב- Active Directory מקומי, בשירותי פריסה כמו GitHub ו-GitLab, ועם כל ספק זהויות שתומך ב- OpenID Connect ‏ (OIDC) או ב-Security Assertion Markup Language ‏ (SAML) גרסה 2.0.

מידע נוסף על סוגי החשבונות הנתמכים האלה ואחרים ב- Google Cloudזמין במאמר סוגי חשבונות משתמש.

הגדרת אימות בארגון Google Cloud

כשמגדירים אימות לארגון Google Cloud , יכול להיות שתצטרכו לשלב מערכות ותהליכי עבודה קיימים ב: Google Cloud

אם יש לכם ספק זהויות קיים שבו אתם רוצים להשתמש, אתם צריכים להגדיר איחוד שירותי אימות הזהות של כוח העבודה.
אם יש לכם עומסי עבודה שפועלים מחוץ ל- Google Cloud ושזקוקים לגישה למשאבים שלGoogle Cloud , אתם צריכים להגדיר איחוד זהויות של עומסי עבודה.

כדי לאבטח את הסביבה שלכם, מומלץ גם: Google Cloud

מוודאים שהאימות הרב-שלבי מופעל אצל המשתמשים.
בודקים אם צריך לשנות את הגדרות האימות מחדש.
יצירת כללי מדיניות לניהול מפתחות API.
יצירת כללי מדיניות לניהול מפתחות של חשבונות שירות.

אימות של בני אדם ועומסי עבודה

האופן שבו מבצעים אימות ב- Google Cloud משתנה בהתאם לממשקי ה-API ולשירותים שבהם אתם משתמשים, ולאופן האינטראקציה שלכם עם ממשקי ה-API והשירותים האלה.

אימות של בני אדם

כשמבצעים עבודה ידנית ואינטראקטיבית, כמו משימות אדמיניסטרטיביות אקראיות, הגדרת משאבים, שינוי הגדרות, ניסויים ועיון ביומנים, משתמשים בפרטי הכניסה של חשבון המשתמש כדי לבצע אימות.

המסוף

כדי לעבוד באופן אינטראקטיבי במסוף Google Cloud , צריך לבצע אימות על ידי כניסה לממשק האינטרנט עם פרטי המשתמש.

כניסה ל Google Cloud מסוף

אותם פרטי כניסה של סשן המסוף משמשים גם ל-Cloud Shell, שדרכו אפשר לגשת ל-ה-CLI של gcloud. Google Cloud

gcloud

אחרי התקנת ה-CLI של gcloud במכשיר המקומי, אפשר להשתמש בפרטי הכניסה של המשתמש כדי לבצע אימות ל- Google Cloud על ידי הפעלת הפקודה הבאה במסוף:

gcloud auth login

אחרי האימות, פקודות gcloud הבאות משתמשות בזהות המחוברת כדי לשלוח את הבקשות שלהן.

הוראות לאימות באמצעות פרטי כניסה של איחוד שירותי אימות הזהות של כוח עבודה, פרטי כניסה של איחוד זהויות של עומסי עבודה או מפתחות של חשבון שירות מופיעות במאמר אימות ל-ה-CLI של gcloud.

אימות של עומסי עבודה

בין אם אתם מפתחים ומריצים קוד במכשיר המקומי, ב-Google Cloud, במערכות המקומיות בארגון או בענן אחר, הדרך הכי גמישה וניידת לאימות עומס העבודה היא לספק פרטי כניסה באמצעות מנגנון שנקרא Application Default Credentials ‏ (ADC).

ספריות שמטמיעות ADC (כמו ספריות הלקוח שלGoogle Cloud ) בודקות מיקומים מוכרים בסביבה שבה הן פועלות כדי למצוא פרטי כניסה. המשמעות היא שאם משנים את המקום שבו הקוד פועל, לא צריך לשנות את הקוד עצמו – רק את פרטי הכניסה שמשמשים בסביבה הזו.

לדוגמה, כשמפתחים באופן מקומי, אפשר להגדיר את הסביבה כך שמערכת ADC תשתמש בפרטי הכניסה של המשתמש לצורך אימות. כשהקוד מוכן לייצור, אפשר לפרוס אותו ללא שינוי במכונת VM של Compute Engine, ולהגדיר את הסביבה כך שתשתמש בפרטי כניסה לטווח קצר של חשבון שירות לצורך אימות.

אי אפשר להשתמש ב-ADC כדי לבצע אימות בתרחישים הבאים:

כשמבצעים אימות של ה-CLI של gcloud.
כשמשתמשים במפתח API. אפשר להשתמש במפתחות API רק עם ממשקי API ספציפיים.

במאמר הגדרת Application Default Credentials מוסבר איך להגדיר ADC לסביבות ספציפיות.

המאמרים הבאים

מידע נוסף על שיטות האימות השונות ב- Google Cloud
כדי להבין איך שולטים בגישה של גורם מרכזי ב- Google Cloud, אפשר לעיין במאמר הרשאה ובקרת גישה.