In diesem Dokument wird beschrieben, wie Sie Anwendungen oder Arbeitslasten authentifizieren, die entweder in einer Produktionsumgebung in der Compute Engine ausgeführt werden oder lokal für die zukünftige Bereitstellung in der Produktionsumgebung getestet werden. In diesem Fall können Sie folgende Aktionen ausführen:
- Arbeitslasten für die Verwendung von Google APIs authentifizieren
- Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren
Arbeitslasten für die Verwendung von Google APIs authentifizieren
Anhand der folgenden Tabelle können Sie ermitteln, welche Authentifizierungsmethode für Ihre Arbeitslasten verwendet werden sollte.
| Task (Aufgabe) | Methode |
|---|---|
| Apps oder Arbeitslasten in der Produktion authentifizieren | Verwenden Sie das Dienstkonto, das mit der VM verknüpft ist. Dies ist die gängigste Methode zur Authentifizierung von Anwendungen und Arbeitslasten, die auf VM-Instanzen in Google Cloudausgeführt werden. Eine ausführliche Anleitung finden Sie unter Arbeitslasten mit Dienstkonten bei den APIs von Google Cloud authentifizieren. |
| Apps oder Arbeitslasten in der Entwicklungsphase authentifizieren | Verwenden Sie das Google Cloud SDK und Standardanmeldedaten für Anwendungen. Weitere Informationen finden Sie unter ADC für eine lokale Entwicklungsumgebung einrichten. |
| Apps und Arbeitslasten autorisieren, die Zugriff auf Endnutzerressourcen benötigen | Wenn Sie Entwicklungs- oder Verwaltungstools erstellen, bei denen Nutzer den Zugriff auf ihre Google Cloud -Ressourcen erlauben, gewähren Sie Ihrer Anwendung mit OAuth 2.0 Zugriff auf Nutzerressourcen. Eine ausführliche Anleitung finden Sie unter OAuth 2.0 für Webserveranwendungen verwenden. Begrenzen Sie in der Anfrage den Zugriffsbereich auf die Methoden und Nutzerinformationen, die die Anwendung benötigt. Eine vollständige Liste der Dienste und erforderlichen Bereiche in Google Cloudfinden Sie unter OAuth 2.0-Bereiche für Google APIs. |
Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren
Sie können Anwendungen oder Arbeitslasten mit verwalteten Arbeitslastidentitäten authentifizieren. Bei dieser Authentifizierungsmethode werden ein Dienstkonto, Zertifizierungsstellenpools und verwaltete Arbeitslastidentitäten verwendet.
Mit verwalteten Arbeitslastidentitäten können Sie stark attestierte Identitäten an Ihre Compute Engine-Arbeitslasten binden. Google Cloud stellt X.509-Anmeldedaten zur Verfügung, die vom Certificate Authority Service ausgestellt werden und mit denen Sie Ihre Arbeitslast über gegenseitige TLS-Authentifizierung (mTLS) zuverlässig bei anderen Arbeitslasten authentifizieren können.
Ihre Arbeitslast verwendet die verwaltete Arbeitslastidentität als Identität, wenn sie sich bei anderen Arbeitslasten über gegenseitiges TLS (mTLS) authentifiziert, und verwendet das Dienstkonto als Identität, wenn sie auf andereGoogle Cloud -Dienste und ‑Ressourcen zugreift.
Weitere Informationen finden Sie unter Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren.
Nächste Schritte
- Weitere Informationen zu den folgenden Konzepten: