Arbeitslast-Authentifizierungsmethode auswählen

---

In diesem Dokument wird beschrieben, wie Sie Anwendungen oder Arbeitslasten authentifizieren, die entweder in einer Produktionsumgebung in der Compute Engine ausgeführt werden oder lokal für die zukünftige Bereitstellung in der Produktionsumgebung getestet werden. In diesem Fall können Sie folgende Aktionen ausführen:

• Arbeitslasten für die Verwendung von Google APIs authentifizieren
• Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren

Arbeitslasten für die Verwendung von Google APIs authentifizieren

Anhand der folgenden Tabelle können Sie ermitteln, welche Authentifizierungsmethode für Ihre Arbeitslasten verwendet werden sollte.

Task (Aufgabe)	Methode
Apps oder Arbeitslasten in der Produktion authentifizieren	Verwenden Sie das Dienstkonto, das mit der VM verknüpft ist. Dies ist die gängigste Methode zur Authentifizierung von Anwendungen und Arbeitslasten, die auf VM-Instanzen auf Google Cloudausgeführt werden. Eine ausführliche Anleitung finden Sie unter Arbeitslasten mit Dienstkonten bei APIs authentifizieren Google Cloud .
Apps oder Arbeitslasten in der Entwicklungsphase authentifizieren	Verwenden Sie das Google Cloud SDK und Standardanmeldedaten für Anwendungen. Weitere Informationen finden Sie unter ADC für eine lokale Entwicklungsumgebung einrichten.
Apps und Arbeitslasten autorisieren, die Zugriff auf Endnutzerressourcen benötigen	Wenn Sie Entwicklungs- oder Verwaltungstools erstellen, bei denen Nutzer den Zugriff auf ihre Google Cloud Ressourcen erlauben, fordern Sie die Autorisierung über OAuth 2.0 an. Eine ausführliche Anleitung finden Sie unter OAuth 2.0 für Webserveranwendungen verwenden. Begrenzen Sie in der Anfrage den Zugriffsbereich auf die Methoden und Nutzerinformationen, die die Anwendung benötigt. Eine vollständige Liste der Dienste und erforderlichen Bereiche in Google Cloudfinden Sie unter OAuth 2.0-Bereiche für Google APIs.

Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren

Sie können Anwendungen oder Arbeitslasten mit verwalteten Arbeitslastidentitäten authentifizieren. Bei dieser Authentifizierungsmethode werden ein Dienstkonto, Zertifizierungsstellenpools und verwaltete Arbeitslastidentitäten verwendet.

Mit verwalteten Arbeitslastidentitäten können Sie stark attestierte Identitäten an Ihre Compute Engine-Arbeitslasten binden. Google Cloud stellt X.509-Anmeldedaten zur Verfügung, die vom Certificate Authority Service ausgestellt werden und mit denen Sie Ihre Arbeitslast über gegenseitige TLS-Authentifizierung (mTLS) zuverlässig bei anderen Arbeitslasten authentifizieren können.

Ihre Arbeitslast verwendet die verwaltete Arbeitslastidentität als Identität, wenn sie sich über gegenseitiges TLS (mTLS) bei anderen Arbeitslasten authentifiziert. Ihre Arbeitslast verwendet das Dienstkonto als ihre Identität, wenn sie auf andereGoogle Cloud Dienste und Ressourcen zugreift.

Weitere Informationen finden Sie unter Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren.

Nächste Schritte

• Weitere Informationen zu den folgenden Konzepten:
  • Bei Compute Engine authentifizieren
  • Authentifizierungsmethoden bei Google
  • Verwaltete Arbeitslastidentitäten