Sebelum dapat berinteraksi dengan Google Cloud API dan layanan, Anda harus membuktikan bahwa Anda adalah orang yang Anda klaim. Proses pembuktian identitas Anda ini dikenal sebagai autentikasi.
Untuk melakukan autentikasi ke Google Cloud, Anda harus memberikan kredensial sebagai bukti identitas Anda. Misalnya, untuk menggunakan layanan, Anda dapat melakukan autentikasi menggunakan kredensial seperti sandi dan kode sekali pakai.
Google Cloud merujuk pada pengguna yang diautentikasi sebagai akun utama. Saat Anda mencoba mengakses resource seperti project Google Cloud atau bucket penyimpanan, Google Cloud akan memeriksa tingkat akses akun utama Anda ke resource yang diminta. Proses ini disebut otorisasi, dan ditangani oleh sistem yang disebut Identity and Access Management (IAM).
Konsep yang sama ini berlaku untuk kode yang melakukan tugas otomatis atas nama Anda, yang dikenal sebagai workload. Workload harus memberikan kredensial untuk membuktikan identitasnya dan mengautentikasi sebagai principal, setelah itu Google Cloud dapat menentukan tingkat akses workload ke resource yang telah dimintanya.
Jenis akun utama
Ada berbagai jenis akun utama yang dapat Anda autentikasi. Anda bahkan dapat menggunakan berbagai jenis prinsipal pada berbagai tahap tugas, atau di berbagai lingkungan pengembangan.
Jenis utama utama dan kredensial yang diperlukan untuk mengautentikasi mencakup hal berikut:
Akun pengguna: Akun ini adalah Akun Google yang digunakan manusia untuk melakukan pekerjaan interaktif, seperti tugas administratif insidental, konfigurasi layanan Google Cloud non-programatik, pengujian, eksperimen, dan kemampuan observasi.
Anda mengautentikasi sebagai akun pengguna dengan kredensial pengguna, seperti sandi dan kode sekali pakai.
Akun layanan: Akun ini bersifat internal untuk Google Cloud yang dapat digunakan oleh workload untuk mengakses layanan atau resource. Biasanya, Anda tidak mengautentikasi sebagai akun layanan secara langsung. Sebagai gantinya, Anda memasang akun layanan ke resource seperti VM Compute Engine, atau menggunakan peniruan identitas akun layanan.
Untuk sebagian besar skenario, sebaiknya gunakan kredensial akun layanan jangka pendek untuk mengautentikasi akun layanan.
Identitas gabungan: Ini adalah identitas yang mereferensikan akun pengguna atau layanan di penyedia identitas eksternal. Ada dua jenis identitas gabungan yang didukung oleh Google Cloud, yang memiliki nama serupa:
Workforce Identity Federation: Memungkinkan pengguna manusia login ke Google Cloud dengan identitas yang dikelola oleh penyedia identitas eksternal. Jika organisasi Anda sudah menyiapkan single sign-on (SSO), Anda dapat menggunakan jenis identitas ini untuk melakukan autentikasi ke Google Cloud.
Penyedia identitas Anda harus mendukung OpenID Connect (OIDC) atau SAML 2.0 untuk menggunakan Workforce Identity Federation.
Workload Identity Federation: Memungkinkan beban kerja yang berjalan di luar Google Cloud beroperasi pada Google Cloud resource.
Anda dapat menggunakan Workload Identity Federation dengan workload yang melakukan autentikasi menggunakan sertifikat klien X.509; yang berjalan di Amazon Web Services (AWS) atau Azure; Active Directory lokal; layanan deployment, seperti GitHub dan GitLab; dan dengan penyedia identitas apa pun yang mendukung OpenID Connect (OIDC) atau Security Assertion Markup Language (SAML) V2.0.
Untuk mempelajari lebih lanjut jenis akun utama yang didukung ini dan jenis lainnya di Google Cloud, lihat Jenis akun utama.
Mengonfigurasi organisasi Google Cloud Anda untuk autentikasi
Saat menyiapkan autentikasi untuk organisasi Google Cloud , Anda mungkin perlu mengintegrasikan sistem dan alur kerja yang ada ke dalam Google Cloud:
Jika Anda memiliki penyedia identitas yang sudah ada dan ingin digunakan, Anda perlu menyiapkan Workforce Identity Federation.
Jika Anda memiliki beban kerja yang berjalan di luar Google Cloud yang memerlukan akses ke resourceGoogle Cloud , Anda harus menyiapkan Workload Identity Federation.
Sebaiknya Anda juga melakukan hal berikut untuk membantu mengamankan lingkungan Google Cloud Anda:
Pastikan autentikasi multi-faktor diaktifkan untuk pengguna Anda.
Periksa apakah Anda perlu mengubah setelan autentikasi ulang.
Buat kebijakan untuk mengelola kunci API.
Buat kebijakan untuk mengelola kunci akun layanan.
Mengautentikasi pengguna dan workload
Cara Anda melakukan autentikasi ke Google Cloud bergantung pada API dan layanan yang Anda gunakan, serta cara Anda berinteraksi dengan API dan layanan tersebut.
Mengautentikasi manusia
Saat melakukan pekerjaan interaktif manual seperti tugas administratif insidental, menyiapkan resource, mengubah konfigurasi, bereksperimen, dan menjelajahi log, Anda menggunakan kredensial akun pengguna Anda untuk melakukan autentikasi.
Konsol
Untuk tugas interaktif di konsol, Anda melakukan autentikasi dengan login ke antarmuka web menggunakan kredensial pengguna Anda. Google Cloud
Kredensial yang sama untuk sesi konsol Anda digunakan untuk Cloud Shell, tempat Anda dapat mengakses gcloud CLI. Google Cloud
gcloud
Setelah menginstal gcloud CLI di perangkat lokal, Anda dapat menggunakan kredensial pengguna untuk mengautentikasi ke Google Cloud dengan menjalankan perintah berikut di terminal:
gcloud auth login
Setelah Anda melakukan autentikasi, perintah gcloud berikutnya menggunakan prinsipal yang login untuk membuat permintaannya.
Untuk melakukan autentikasi dengan kredensial Workforce Identity Federation, kredensial Workload Identity Federation, atau kunci akun layanan, lihat Melakukan autentikasi untuk menggunakan gcloud CLI.
Mengautentikasi workload
Baik Anda mengembangkan dan menjalankan kode di perangkat lokal, di Google Cloud, di infrastruktur lokal, atau di cloud lain, cara paling fleksibel dan portabel untuk mengautentikasi workload Anda adalah dengan memberikan kredensial melalui mekanisme yang disebut Kredensial Default Aplikasi (ADC).
Library yang menerapkan ADC (seperti library klienGoogle Cloud ) memeriksa lokasi yang diketahui di lingkungan tempat library tersebut dijalankan untuk mendapatkan kredensial. Artinya, jika Anda mengubah tempat kode berjalan, Anda tidak perlu mengubah kode itu sendiri—hanya kredensial yang digunakan untuk lingkungan tersebut.
Misalnya, saat mengembangkan secara lokal, Anda dapat menyetel lingkungan sehingga ADC menggunakan kredensial pengguna Anda untuk autentikasi. Saat kode Anda siap untuk produksi, Anda dapat men-deploy-nya tanpa perubahan ke instance VM Compute Engine, dan menyetel lingkungan untuk menggunakan kredensial akun layanan yang berumur pendek untuk autentikasi.
Anda tidak dapat menggunakan ADC untuk mengautentikasi dalam skenario berikut:
Saat mengautentikasi gcloud CLI.
Saat menggunakan kunci API. Kunci API hanya dapat digunakan dengan API tertentu.
Untuk mempelajari cara menyiapkan ADC untuk lingkungan tertentu, lihat Menyiapkan Kredensial Default Aplikasi.
Langkah berikutnya
Pelajari lebih lanjut berbagai metode autentikasi untuk Google Cloud.
Untuk memahami cara mengontrol apa yang dapat diakses oleh prinsipal di Google Cloud, lihat Otorisasi dan kontrol akses.