Choisir une méthode d'authentification des charges de travail

---

Ce document explique comment authentifier les applications ou les charges de travail qui s'exécutent dans un environnement de production sur Compute Engine, ou qui sont testées en local pour un déploiement ultérieur dans l'environnement de production. Vous pouvez procéder comme suit :

• Authentifier vos charges de travail pour utiliser les API Google
• Authentifier vos charges de travail auprès d'autres charges de travail via mTLS

Authentifier vos charges de travail pour utiliser les API Google

Le tableau suivant vous permet de déterminer la méthode d'authentification à utiliser pour vos charges de travail.

Tâche	Méthode
Authentifier des applications ou des charges de travail en production	Utilisez le compte de service associé à la VM. Il s'agit de la méthode la plus courante pour authentifier les applications et les charges de travail qui sont exécutées sur des instances de machine virtuelle (VM) dans Google Cloud. Pour obtenir des instructions détaillées, consultez la page Authentifier des charges de travail auprès des API Google Cloud à l'aide de comptes de service.
Authentifier des applications ou des charges de travail en cours de développement	Utilisez Google Cloud SDK et Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'ADC pour un environnement de développement local.
Autoriser des applications et des charges de travail qui ont besoin d'accéder aux ressources de l'utilisateur final	Si vous créez des outils de développement ou d'administration dans lesquels les utilisateurs vous accordent l'accès à leurs Google Cloud ressources, vous devez permettre à vos applications d'accéder aux ressources utilisateur à l'aide d'OAuth 2.0. Pour obtenir des instructions détaillées, consultez la page Utiliser OAuth 2.0 pour les applications de serveur Web. Dans votre requête, spécifiez un niveau d'accès qui limite votre accès aux seules méthodes et informations utilisateur requises par votre application. Pour obtenir la liste complète des services et des champs d'application requis pour l'ensemble de Google Cloud, consultez la page Champs d'application OAuth 2.0 pour les API Google.

Authentifier vos charges de travail auprès d'autres charges de travail via mTLS

Vous pouvez authentifier des applications ou des charges de travail à l'aide des identités de charge de travail gérées. Cette méthode d'authentification utilise un compte de service, des pools d'autorités de certification et des identités de charge de travail gérées.

Les identités de charge de travail gérées vous permettent d'associer des identités fortement certifiées à vos charges de travail Compute Engine. Google Cloud provisionne des identifiants X.509 émis par le Certificate Authority Service et pouvant être utilisés pour authentifier de manière fiable votre charge de travail avec d'autres charges de travail via l'authentification TLS mutuel (mTLS).

Votre charge de travail utilise l'identité de charge de travail gérée comme identité lorsqu'elle s'authentifie auprès d'autres charges de travail à l'aide du protocole TLS mutuel (mTLS) et utilise le compte de service comme identité pour accéder à d'autres services et ressourcesGoogle Cloud .

Pour en savoir plus, consultez la page Authentifier des charges de travail auprès d'autres charges de travail via mTLS.

Étapes suivantes

• Découvrez-en davantage sur les concepts suivants :
  • S'authentifier sur Compute Engine
  • Méthodes d'authentification chez Google
  • Identités de charge de travail gérées