En este documento se describe cómo autenticar aplicaciones o cargas de trabajo que se ejecutan en un entorno de producción en Compute Engine o que se están probando de forma local para desplegarlas en el entorno de producción en el futuro. Puedes hacer lo siguiente:
- Autenticar cargas de trabajo para usar las APIs de Google
- Autenticar tus cargas de trabajo en otras cargas de trabajo mediante mTLS
Autenticar cargas de trabajo para usar las APIs de Google
Usa la siguiente tabla para determinar qué método de autenticación debes usar en tus cargas de trabajo.
| Tarea | Método |
|---|---|
| Autenticar aplicaciones o cargas de trabajo que estén en producción | Usa la cuenta de servicio vinculada a la VM. Este es el método más habitual para autenticar aplicaciones y cargas de trabajo que se ejecutan en instancias de máquina virtual en Google Cloud. Para obtener instrucciones detalladas, consulta el artículo Autenticar cargas de trabajo en APIs de Google Cloud con cuentas de servicio. |
| Autenticar aplicaciones o cargas de trabajo que estén en desarrollo | Usa el SDK de Google Cloud y las credenciales de aplicación predeterminadas. Para obtener más información, consulta el artículo Configurar ADC en un entorno de desarrollo local. |
| Autorizar aplicaciones y cargas de trabajo que necesiten acceder a recursos de usuarios finales | Si vas a crear herramientas de desarrollo o administración en las que los usuarios te concedan acceso a sus recursos de Google Cloud , utiliza OAuth 2.0 para que tu aplicación pueda acceder a los recursos de los usuarios. Para obtener instrucciones detalladas, consulta el artículo Uso de OAuth 2.0 para aplicaciones de servidor web. En tu solicitud, especifica un ámbito de acceso que limite tu acceso a solo los métodos y la información del usuario que necesite tu aplicación. Para ver una lista completa de los servicios y los permisos necesarios en Google Cloud, consulta Permisos de OAuth 2.0 para APIs de Google. |
Autenticar tus cargas de trabajo en otras cargas de trabajo mediante mTLS
Puedes autenticar aplicaciones o cargas de trabajo mediante identidades de carga de trabajo gestionadas. Este método de autenticación usa una cuenta de servicio, grupos de autoridades de certificación y identidades de carga de trabajo gestionadas.
Las identidades de carga de trabajo gestionadas te permiten vincular identidades con certificación sólida a tus cargas de trabajo de Compute Engine. Google Cloud proporciona credenciales X.509 emitidas por el servicio de autoridad de certificación que se pueden usar para autenticar de forma fiable tu carga de trabajo con otras cargas de trabajo mediante la autenticación TLS mutua (mTLS).
Tu carga de trabajo usa la identidad de carga de trabajo gestionada como identidad cuando se autentica en otras cargas de trabajo mediante TLS mutuo (mTLS) y usa la cuenta de servicio como identidad cuando accede a otrosGoogle Cloud servicios y recursos.
Para obtener más información, consulta Autenticar cargas de trabajo en otras cargas de trabajo mediante mTLS.
Siguientes pasos
- Consulta más información sobre los siguientes conceptos: