Escolha um método de autenticação de carga de trabalho


Neste documento, descrevemos como autenticar aplicativos ou cargas de trabalho que estão em execução em um ambiente de produção no Compute Engine ou em teste localmente para implantação futura no ambiente de produção. Faça o seguinte:

  • Autentique suas cargas de trabalho para usar as APIs do Google
  • Autentique suas cargas de trabalho em outras cargas de trabalho por mTLS

Autentique suas cargas de trabalho para usar as APIs do Google

Use a tabela a seguir para determinar qual método de autenticação usar para suas cargas de trabalho.

Tarefa Método
Autenticar apps ou cargas de trabalho em produção

Use a conta de serviço anexada à VM.


Esse é o método mais comum para autenticar apps e cargas de trabalho em execução em instâncias de máquina virtual (VM) no Google Cloud. Para instruções detalhadas, consulte Autenticar cargas de trabalho nas APIs do Google Cloud usando contas de serviço.

Autenticar apps ou cargas de trabalho em desenvolvimento Use o SDK Google Cloud e o Application Default Credentials. Para mais informações, consulte Ambiente de desenvolvimento local.
Como autorizar apps e cargas de trabalho que precisam de acesso aos recursos do usuário final

Se você está criando ferramentas de desenvolvimento ou administração em que os usuários concedem acesso aos recursos do Google Cloud, consiga acesso aos recursos para os usuários usando o OAuth 2.0. Para instruções detalhadas, consulte Como usar o OAuth 2.0 para aplicativos de servidor da Web (em inglês).


Na solicitação, especifique um escopo de acesso que limite o acesso apenas a métodos e informações do usuário necessários ao aplicativo. Para ver uma lista completa de serviços e escopos necessários no Google Cloud, consulte Escopos do OAuth 2.0 para APIs do Google.

Autentique suas cargas de trabalho em outras cargas de trabalho por mTLS

É possível autenticar aplicativos ou cargas de trabalho usando identidades das cargas de trabalho gerenciadas. Esse método de autenticação usa uma conta de serviço, pools de autoridade de certificação (AC) e identidades das cargas de trabalho gerenciadas.

As identidades de cargas de trabalho gerenciadas permitem que vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine. O Google Cloud provisiona credenciais X.509 emitidas pelo Certificate Authority Service que podem ser usadas para autenticar de maneira confiável sua carga de trabalho com outras cargas de trabalho por TLS mútuo (mTLS, na sigla em inglês).

A carga de trabalho usa a identidade da carga de trabalho gerenciada como identidade quando é autenticada em outras cargas de trabalho usando TLS mútuo (mTLS) e usa a conta de serviço como identidade quando acessa outros serviços e recursos do Google Cloud.

Para mais informações, consulte Autenticar cargas de trabalho em outras cargas de trabalho por mTLS.

A seguir