Elige un método de autenticación de carga de trabajo

---

En este documento, se describe cómo autenticar aplicaciones o cargas de trabajo que se ejecutan en un entorno de producción en Compute Engine o se prueban de forma local para su implementación futura en el entorno de producción. Puedes realizar lo siguiente:

• Autentica tus cargas de trabajo para usar las APIs de Google
• Autentica tus cargas de trabajo en otras cargas de trabajo a través de mTLS

Autentica tus cargas de trabajo para usar las APIs de Google

Usa la siguiente tabla para determinar qué método de autenticación usar para tus cargas de trabajo.

Tarea	Método
Autentica apps o cargas de trabajo que están en producción	Usa la cuenta de servicio conectada a la VM. Este es el método más común para autenticar apps y cargas de trabajo que se ejecutan en instancias de máquinas virtuales (VMs) en Google Cloud. Para obtener instrucciones detalladas, consulta Autentica cargas de trabajo en las Google Cloud APIs con cuentas de servicio.
Autentica apps o cargas de trabajo que están en desarrollo	Usa el SDK de Google Cloud y las credenciales predeterminadas de la aplicación. Para obtener más información, consulta Configura ADC para un entorno de desarrollo local.
Autoriza apps y cargas de trabajo que necesitan acceso a los recursos del usuario final	Si compilas herramientas de desarrollo o administración en las que los usuarios te otorgan acceso a sus Google Cloud recursos, haz que tu aplicación acceda a los recursos del usuario con OAuth 2.0. Si deseas obtener instrucciones detalladas, consulta Cómo usar OAuth 2.0 para aplicaciones de servidor web. En la solicitud, especifica un permiso de acceso que limite el acceso solo a los métodos y la información del usuario que requiere la aplicación. Si deseas obtener una lista completa de servicios y alcances obligatorios en Google Cloud, consulta Alcances de OAuth 2.0 para las APIs de Google.

Autentica tus cargas de trabajo en otras cargas de trabajo a través de mTLS

Puedes autenticar aplicaciones o cargas de trabajo con identidades de carga de trabajo administradas. Este método de autenticación usa una cuenta de servicio, grupos de autoridades certificadoras (AC) y identidades de cargas de trabajo administradas.

Las identidades de carga de trabajo administradas te permiten vincular identidades certificadas a tus cargas de trabajo de Compute Engine. Google Cloud aprovisiona credenciales X.509 emitidas desde el Certificate Authority Service que se puede usar para autenticar de forma confiable tu carga de trabajo con otras cargas de trabajo en la autenticación TLS mutua (mTLS).

Tu carga de trabajo usa la identidad de carga de trabajo administrada como su identidad cuando se autentica en otras cargas de trabajo a través de TLS mutua (mTLS) y usa la cuenta de servicio como su identidad cuando accede a otros servicios y recursos deGoogle Cloud .

Para obtener más información, consulta Autentica cargas de trabajo en otras cargas de trabajo a través de mTLS.

¿Qué sigue?

• Obtén más información sobre los siguientes conceptos:
  • Autentica en Compute Engine
  • Métodos de autenticación en Google
  • Identidades para cargas de trabajo administradas