Para usar Google Cloud, os usuários, as cargas de trabalho e os agentes precisam de uma identidade que Google Cloud possa reconhecer.
Nesta página, descrevemos os métodos que podem ser usados para configurar identidades para usuários, cargas de trabalho e agentes.
Identidades de usuário
Há várias maneiras de configurar identidades de usuário para que Google Cloud possa reconhecê-las:
- Criar contas do Cloud Identity ou do Google Workspace: os usuários com contas do Cloud Identity ou do Google Workspace podem se autenticar no Google Cloud e receber autorização para usar os Google Cloud recursos. As contas do Cloud Identity e do Google Workspace são contas de usuário gerenciadas pela sua organização.
Configure uma das seguintes estratégias de identidade federada:
- Federação usando o Cloud Identity ou o Google Workspace: sincronize identidades externas com as contas correspondentes do Cloud Identity ou do Google Workspace para que os usuários possam fazer login nos serviços do Google com as credenciais externas. Com esse método, os usuários precisam de duas contas: uma externa e uma do Cloud Identity ou Google Workspace. É possível manter essas contas sincronizadas usando uma ferramenta como Google Cloud Directory Sync (GCDS).
- Federação de identidade de colaboradores: use seu provedor de identidade externo (IdP) para fazer login dos usuários no Google Cloud e permitir que eles acessem Google Cloud recursos e produtos. Com a federação de identidade de colaboradores, os usuários precisam apenas de uma conta: a conta externa. Esse tipo de identidade de usuário às vezes é chamado de identidade federada.
Para saber mais sobre esses métodos de configuração de identidades de usuário, consulte Visão geral de identidades de usuário.
Identidades de carga de trabalho
Google Cloud oferece os seguintes tipos de serviços de identidade para cargas de trabalho:
A **federação de identidade da carga de trabalho** permite que as cargas de trabalho acessem a maioria dos Google Cloud serviços usando uma identidade fornecida por um IdP. As cargas de trabalho que usam a federação de identidade da carga de trabalho podem ser executadas no Google Cloud, no Google Kubernetes Engine (GKE) ou em outras plataformas, como AWS, Azure e GitHub.
Google Cloud As contas de serviço podem atuar como identidades de cargas de trabalho. Em vez de conceder acesso a uma carga de trabalho diretamente, conceda acesso a uma conta de serviço e permita que ela utilize a conta de serviço como identidade.
As identidades de cargas de trabalho gerenciadas permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine. É possível usar identidades de carga de trabalho gerenciada para autenticar suas cargas de trabalho em outras cargas de trabalho usando mutual TLS (mTLS), mas elas não podem ser usadas para autenticação nas Google Cloud APIs.
Os métodos que você pode usar dependem de onde suas cargas de trabalho estão em execução.
Se você estiver executando cargas de trabalho no Google Cloud, poderá usar os seguintes métodos para configurar identidades de carga de trabalho:
Federação de identidade da carga de trabalho para GKE: conceda acesso do Identity and Access Management (IAM) a clusters do GKE e contas de serviço do Kubernetes. Isso permite que as cargas de trabalho dos clusters acessem a maioria dos Google Cloud serviços diretamente, sem usar a identidade temporária de conta de serviço do IAM.
Contas de serviço anexadas: anexe uma conta de serviço a um recurso para que a conta de serviço atue como a identidade padrão do recurso. Todas as cargas de trabalho em execução no recurso usam a identidade da conta de serviço ao acessar Google Cloud serviços.
Credenciais da conta de serviço de curta duração: gere e use credenciais de conta de serviço de curta duração sempre que seus recursos precisarem acessar serviços.Google Cloud Os tipos de credenciais mais comuns são tokens de acesso do OAuth 2.0 e tokens de ID do OpenID Connect (OIDC).
Se você estiver executando cargas de trabalho fora do Google Cloud, use os seguintes métodos para configurar identidades de carga de trabalho:
- Federação de identidade da carga de trabalho: use credenciais de provedores de identidade externos para gerar credenciais de curta duração, que as cargas de trabalho podem usar para representar temporariamente as contas de serviço. As cargas de trabalho podem acessar Google Cloud recursos usando a conta de serviço como identidade.
Chaves de conta de serviço: use a parte particular do par de Chave RSA pública/privada de uma conta de serviço para autenticar como a conta de serviço.
Para saber mais sobre esses métodos de configuração de identidades de carga de trabalho, consulte Visão geral de identidades de carga de trabalho.
Identidades do agente
Google Cloud fornece identidades de agente para agentes de IA generativa. Uma identidade de agente é uma identidade baseada em SPIFFE vinculada ao ciclo de vida de um agente e mapeada diretamente para o URI do recurso em que o agente está hospedado. O agente usa essa identidade para se autenticar em Google Cloud serviços ou recuperar credenciais externas do gerenciador de autenticação de identidade do agente.
Para saber mais sobre como configurar identidades de agente, consulte Visão geral da identidade do agente.