Antes de interagir com as APIs e os serviços do Google Cloud , você precisa provar que é quem diz ser. Esse processo de comprovação de identidade é conhecido como autenticação.
Para se autenticar no Google Cloud, forneça credenciais como prova da sua identidade. Por exemplo, para usar um serviço, você pode fazer a autenticação usando credenciais como uma senha e um código único.
OGoogle Cloud se refere a usuários autenticados como principais. Quando você tenta acessar um recurso, como um projeto Google Cloud ou um bucket de armazenamento, Google Cloud verifica o nível de acesso que seu principal tem ao recurso solicitado. Esse processo é chamado de autorização e é gerenciado por um sistema chamado Identity and Access Management (IAM).
Esses mesmos conceitos se aplicam ao código que realiza tarefas automatizadas em seu nome, conhecidas como cargas de trabalho. Uma carga de trabalho precisa fornecer credenciais para provar a identidade e autenticar como um principal. Depois disso, o Google Cloud pode determinar qual nível de acesso a carga de trabalho tem aos recursos solicitados.
Tipos principais
Há diferentes tipos de principais que podem ser autenticados. Você pode até usar diferentes tipos de principais em diferentes estágios de uma tarefa ou em diferentes ambientes de desenvolvimento.
Os principais tipos de administrador e as credenciais necessárias para autenticação incluem o seguinte:
Contas de usuário: são Contas do Google para que humanos façam trabalhos interativos, como tarefas administrativas incidentais, configuração não programática de serviços do Google Cloud , testes, experimentos e observabilidade.
Você se autentica como uma conta de usuário com credenciais de usuário, como uma senha e um código único.
Contas de serviço: são contas internas do Google Cloud que cargas de trabalho podem usar para acessar serviços ou recursos. Normalmente, não é necessário fazer a autenticação como uma conta de serviço diretamente. Em vez disso, anexe uma conta de serviço a um recurso, como uma VM do Compute Engine, ou use a identidade temporária de conta de serviço.
Na maioria dos cenários, recomendamos o uso de credenciais de conta de serviço de curta duração para autenticar uma conta de serviço.
Identidades federadas: são identidades que fazem referência a contas de usuário ou de serviço em um provedor de identidade externo. Há dois tipos de identidades federadas compatíveis com o Google Cloud, que têm nomes semelhantes:
Federação de identidade de colaboradores: permite que usuários humanos façam login no Google Cloud com identidades gerenciadas por um provedor de identidade externo. Se a sua organização já tiver o logon único (SSO) configurado, você poderá usar esse tipo de identidade para autenticar no Google Cloud.
Seu provedor de identidade precisa ser compatível com OpenID Connect (OIDC) ou SAML 2.0 para usar a federação de identidade de colaboradores.
Federação de identidade da carga de trabalho: permite que cargas de trabalho executadas fora do Google Cloud operem em recursos do Google Cloud.
É possível usar a federação de identidade da carga de trabalho com cargas de trabalho que são autenticadas usando certificados de cliente X.509; que são executadas no Amazon Web Services (AWS) ou Azure; no local Active Directory; serviços de implantação, como GitHub e GitLab; e com qualquer provedor de identidade compatível com OpenID Connect (OIDC) ou Security Assertion Markup Language (SAML) V2.0.
Para saber mais sobre esses e outros tipos de principais compatíveis em Google Cloud, consulte Tipos de principais.
Configurar sua organização do Google Cloud para autenticação
Ao configurar a autenticação para sua organização Google Cloud , talvez seja necessário integrar sistemas e fluxos de trabalho atuais ao Google Cloud:
Se você tiver um provedor de identidade que quer usar, configure a federação de identidade de colaboradores.
Se você tiver cargas de trabalho executadas fora do Google Cloud que precisam de acesso aos recursos doGoogle Cloud , configure a federação de identidade da carga de trabalho.
Recomendamos que você também faça o seguinte para ajudar a proteger seu ambiente do Google Cloud:
Confira se a autenticação multifator está ativada para seus usuários.
Verifique se é necessário mudar as configurações de reautenticação.
Crie políticas para gerenciar chaves de API.
Crie políticas para gerenciar conta de serviço de serviço.
Autenticar pessoas e cargas de trabalho
A forma de autenticação no Google Cloud depende das APIs e dos serviços que você está usando e da maneira como interage com eles.
Autenticar humanos
Ao realizar trabalhos manuais e interativos, como tarefas administrativas incidentais, configuração de recursos, mudança de configurações, testes e navegação em registros, você usa as credenciais da sua conta de usuário para autenticar.
Console
Para trabalhos interativos no console Google Cloud , faça a autenticação ao fazer login na interface da Web com suas credenciais de usuário.
Acesse o console do Google Cloud .
As mesmas credenciais da sua sessão do console Google Cloud são usadas no Cloud Shell, em que é possível acessar a CLI gcloud.
gcloud
Depois de instalar a CLI gcloud no seu dispositivo local, use suas credenciais de usuário para autenticar no Google Cloud executando o seguinte comando no terminal:
gcloud auth login
Depois da autenticação, os comandos gcloud subsequentes usam o principal conectado
para fazer as solicitações.
Para autenticar com credenciais da federação de identidade de colaboradores, da federação de identidade da carga de trabalho ou chaves de conta de serviço, consulte Autenticar para usar a CLI gcloud.
Autenticar cargas de trabalho
Se você estiver desenvolvendo e executando código no seu dispositivo local, no Google Cloud, no local ou em outra nuvem, a maneira mais flexível e portátil de autenticar sua carga de trabalho é fornecer credenciais por um mecanismo chamado Application Default Credentials (ADC).
As bibliotecas que implementam o ADC (como as bibliotecas de cliente) verificam locais conhecidos no ambiente em que são executadas para encontrar credenciais.Google Cloud Isso significa que, se você mudar onde o código é executado, não será necessário mudar o código em si, apenas as credenciais usadas para esse ambiente.
Por exemplo, ao desenvolver localmente, é possível definir o ambiente para que o ADC use suas credenciais de usuário para autenticação. Quando o código estiver pronto para produção, você poderá implantá-lo sem alterações em uma instância de VM do Compute Engine e definir o ambiente para usar credenciais de conta de serviço de curta duração para autenticação.
Não é possível usar o ADC para autenticar nos seguintes cenários:
Ao autenticar a CLI gcloud.
Ao usar uma chave de API. As chaves de API só podem ser usadas com APIs específicas.
Para saber como configurar o ADC em ambientes específicos, consulte Configurar o Application Default Credentials.
A seguir
Saiba mais sobre os diferentes métodos de autenticação para Google Cloud.
Para entender como controlar o que um principal pode acessar no Google Cloud, consulte Autorização e controle de acesso.