ワークロードの認証方法を選択する

このドキュメントでは、Compute Engine の本番環境で実行されているアプリケーションやワークロード、または将来的に本番環境にデプロイするためにローカルでテストしているアプリケーションやワークロードを認証する方法について説明します。以下の操作を行います。

Google API を使用するためにワークロードを認証する
mTLS を使用してワークロード間で認証を行う

Google API を使用するためにワークロードを認証する

次の表を使用して、ワークロードに使用する認証方法を判断します。

タスク	方法
本番環境のアプリやワークロードを認証する	VM に関連付けられているサービスアカウントを使用します。これは、Google Cloud の仮想マシン（VM）インスタンスで実行されているアプリとワークロードを認証するための最も一般的な方法です。詳細な手順については、サービスアカウントを使用して Google Cloud APIs へのワークロードを認証するをご覧ください。
開発中のアプリやワークロードを認証する	Google Cloud SDK とアプリケーションのデフォルト認証情報を使用します。詳細については、ローカル開発環境をご覧ください。
エンドユーザーリソースへのアクセスを必要とするアプリとワークロードを認証する	開発ツールまたは管理ツールを作成している場合は、ユーザーが Google Cloud リソースへのアクセス権を付与するため、OAuth 2.0 を使用してアプリケーションからユーザーリソースにアクセスします。詳細な手順については、ウェブサーバーアプリケーションに OAuth 2.0 を使用するをご覧ください。リクエストには、アプリケーションが必要とするメソッドとユーザー情報のみにアクセスを制限するアクセススコープを指定します。Google Cloud 全体のサービスと必要なスコープの一覧については、Google API の OAuth 2.0 スコープをご覧ください。

タスク

方法

本番環境のアプリやワークロードを認証する

VM に関連付けられているサービスアカウントを使用します。

これは、Google Cloud の仮想マシン（VM）インスタンスで実行されているアプリとワークロードを認証するための最も一般的な方法です。詳細な手順については、サービスアカウントを使用して Google Cloud APIs へのワークロードを認証するをご覧ください。

開発中のアプリやワークロードを認証する

Google Cloud SDK とアプリケーションのデフォルト認証情報を使用します。詳細については、ローカル開発環境をご覧ください。

エンドユーザーリソースへのアクセスを必要とするアプリとワークロードを認証する

開発ツールまたは管理ツールを作成している場合は、ユーザーが Google Cloud リソースへのアクセス権を付与するため、OAuth 2.0 を使用してアプリケーションからユーザーリソースにアクセスします。詳細な手順については、ウェブサーバーアプリケーションに OAuth 2.0 を使用するをご覧ください。

リクエストには、アプリケーションが必要とするメソッドとユーザー情報のみにアクセスを制限するアクセススコープを指定します。Google Cloud 全体のサービスと必要なスコープの一覧については、Google API の OAuth 2.0 スコープをご覧ください。

mTLS を使用してワークロード間で認証を行う

マネージドワークロード ID を使用して、アプリケーションまたはワークロードを認証できます。この認証方法では、サービスアカウント、認証局（CA）プール、マネージドワークロード ID を使用します。

マネージドワークロード ID を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。Google Cloud では、Certificate Authority Service から発行された X.509 証明書がプロビジョニングされます。この証明書を使用することで、相互 TLS（mTLS）認証でワークロード間の認証を確実に行うことができます。

ワークロードは、相互 TLS（mTLS）を使用して他のワークロードを認証する際に、マネージドワークロード ID を ID として使用します。ワークロードは、他の Google Cloud サービスとリソースにアクセスするときに、その ID としてサービスアカウントを使用します。

詳細については、mTLS を使用してワークロード間で認証を行うをご覧ください。

次のステップ

次のコンセプトの詳細を確認する。