Scegli un metodo di autenticazione dei carichi di lavoro


Questo documento descrive come autenticare le applicazioni o i carichi di lavoro in esecuzione in un ambiente di produzione su Compute Engine o sottoposti a test in locale per il deployment futuro nell'ambiente di produzione. Ecco cosa puoi fare:

  • Autentica i tuoi carichi di lavoro per utilizzare le API di Google
  • Autentica i tuoi carichi di lavoro in altri carichi di lavoro tramite mTLS

Autentica i tuoi carichi di lavoro per utilizzare le API di Google

Utilizza la seguente tabella per determinare il metodo di autenticazione da utilizzare per i carichi di lavoro.

Attività Metodo
Autentica app o carichi di lavoro in produzione

Utilizza l'account di servizio collegato alla VM.


Questo è il metodo più comune per autenticare app e carichi di lavoro in esecuzione su istanze di macchine virtuali (VM) su Google Cloud. Per istruzioni dettagliate, consulta Autenticare i carichi di lavoro nelle API Google Cloud utilizzando gli account di servizio.

Autentica le app o i carichi di lavoro in fase di sviluppo Usa Google Cloud SDK e le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Ambiente di sviluppo locale.
Autorizzazione di app e carichi di lavoro che richiedono l'accesso alle risorse dell'utente finale

Se stai creando strumenti di sviluppo o di amministrazione in cui gli utenti ti concedono l'accesso alle loro risorse Google Cloud, utilizza OAuth 2.0 per ottenere l'accesso della tua applicazione alle risorse utente. Per istruzioni dettagliate, consulta l'articolo sull' utilizzo di OAuth 2.0 per applicazioni server web.


Nella richiesta, specifica un ambito di accesso che limita l'accesso solo ai metodi e alle informazioni utente richiesti dall'applicazione. Per un elenco completo dei servizi e degli ambiti richiesti in Google Cloud, consulta Ambiti OAuth 2.0 per le API di Google.

Autentica i tuoi carichi di lavoro in altri carichi di lavoro tramite mTLS

Puoi autenticare le applicazioni o i carichi di lavoro utilizzando le identità dei carichi di lavoro gestite. Questo metodo di autenticazione utilizza un account di servizio, pool di autorità di certificazione (CA) e identità dei carichi di lavoro gestiti.

Le identità dei carichi di lavoro gestiti consentono di associare identità attestate dai carichi di lavoro Compute Engine. Google Cloud fornisce le credenziali X.509 emesse da Certificate Authority Service che possono essere utilizzate per autenticare in modo affidabile il carico di lavoro con altri carichi di lavoro tramite l'autenticazione mTLS (mutual TLS).

Il carico di lavoro utilizza l'identità del carico di lavoro gestito come identità quando si autentica ad altri carichi di lavoro utilizzando TLS reciproco (mTLS) e utilizza l'account di servizio come identità quando accede ad altri servizi e risorse Google Cloud.

Per maggiori informazioni, consulta Autenticare i carichi di lavoro in altri carichi di lavoro tramite mTLS.

Passaggi successivi