En este documento, se describe cómo autenticar aplicaciones o cargas de trabajo que se ejecutan en un entorno de producción en Compute Engine o se prueban de forma local para su implementación futura en el entorno de producción. Puedes realizar lo siguiente:
- Autentica tus cargas de trabajo para usar las APIs de Google
- Autentica tus cargas de trabajo en otras cargas de trabajo a través de mTLS
Autentica tus cargas de trabajo para usar las APIs de Google
Usa la siguiente tabla para determinar qué método de autenticación usar para tus cargas de trabajo.
| Tarea | Método |
|---|---|
| Autentica apps o cargas de trabajo que están en producción | Usa la cuenta de servicio conectada a la VM. Este es el método más común para autenticar apps y cargas de trabajo que se ejecutan en instancias de máquinas virtuales (VMs) en Google Cloud. Para obtener instrucciones detalladas, consulta Autentica cargas de trabajo en las APIs de Google Cloud con cuentas de servicio. |
| Autentica apps o cargas de trabajo que están en desarrollo | Usa el SDK de Google Cloud y las credenciales predeterminadas de la aplicación. Para obtener más información, consulta Configura ADC para un entorno de desarrollo local. |
| Autoriza apps y cargas de trabajo que necesitan acceso a los recursos del usuario final | Si compilas herramientas de desarrollo o administración en las que los usuarios te otorgan acceso a sus recursos de Google Cloud, haz que tu aplicación acceda a los recursos del usuario con OAuth 2.0. Si deseas obtener instrucciones detalladas, consulta Usa OAuth 2.0 para aplicaciones de servidor web. En la solicitud, especifica un permiso de acceso que limite el acceso solo a los métodos y la información del usuario que requiere la aplicación. Si deseas obtener una lista completa de servicios y alcances obligatorios en Google Cloud, consulta Alcances de OAuth 2.0 para las APIs de Google. |
Autentica tus cargas de trabajo en otras cargas de trabajo a través de mTLS
Puedes autenticar aplicaciones o cargas de trabajo con identidades de carga de trabajo administradas. Este método de autenticación usa una cuenta de servicio, grupos de autoridades certificadoras (AC) y identidades de cargas de trabajo administradas.
Las identidades para cargas de trabajo administradas te permiten vincular identidades certificadas a tus cargas de trabajo de Compute Engine. Google Cloud aprovisiona credenciales X.509 emitidas desde el Certificate Authority Service que se puede usar para autenticar de forma confiable tu carga de trabajo con otras cargas de trabajo en la autenticación TLS mutua (mTLS).
Tu carga de trabajo usa la identidad para cargas de trabajo administradas como su identidad cuando se autentique en otras cargas de trabajo a través de TLS mutua (mTLS) y usa la cuenta de servicio como su identidad cuando accede a otros servicios y recursos de Google Cloud.
Para obtener más información, consulta Autentica cargas de trabajo en otras cargas de trabajo a través de mTLS.
¿Qué sigue?
- Obtén más información sobre los siguientes conceptos: