ワークロードの認証方法を選択する

このドキュメントでは、Compute Engine の本番環境で実行されているアプリケーションやワークロード、または将来的に本番環境にデプロイするためにローカルでテストしているアプリケーションやワークロードを認証する方法について説明します。以下の操作を行います。

  • Google API を使用するためにワークロードを認証する
  • mTLS を使用してワークロード間で認証を行う

Google API を使用するためにワークロードを認証する

次の表を使用して、ワークロードに使用する認証方法を判断します。

タスク 方法
本番環境のアプリやワークロードを認証する

VM に関連付けられているサービス アカウントを使用します。


これは、 Google Cloudの仮想マシン(VM)インスタンスで実行されているアプリとワークロードを認証するための最も一般的な方法です。詳細な手順については、サービス アカウントを使用して Google Cloud API に対するワークロードの認証を行うをご覧ください。
開発中のアプリやワークロードを認証する Google Cloud SDK とアプリケーションのデフォルト認証情報を使用します。詳細については、ローカル開発環境の ADC の設定をご覧ください。
エンドユーザー リソースへのアクセスを必要とするアプリとワークロードを認証する

開発ツールまたは管理ツールを作成している場合は、ユーザーが Google Cloud リソースへのアクセス権を付与するため、OAuth 2.0 を使用してアプリケーションからユーザー リソースにアクセスします。詳細な手順については、ウェブサーバー アプリケーションに OAuth 2.0 を使用するをご覧ください。


リクエストには、アプリケーションが必要とするメソッドとユーザー情報のみにアクセスを制限するアクセス スコープを指定します。 Google Cloud全体のサービスと必要なスコープの一覧については、Google API の OAuth 2.0 スコープをご覧ください。

mTLS を使用してワークロード間で認証を行う

マネージド ワークロード ID を使用して、アプリケーションまたはワークロードを認証できます。この認証方法では、サービス アカウント、認証局(CA)プール、マネージド ワークロード ID を使用します。

マネージド ワークロード ID を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。 Google Cloud では、Certificate Authority Service から発行された X.509 証明書がプロビジョニングされます。この証明書を使用することで、相互 TLS(mTLS)認証でワークロード間の認証を確実に行うことができます。

ワークロードは、相互 TLS(mTLS)を使用して他のワークロードを認証する際に、マネージド ワークロード ID を ID として使用します。ワークロードは、他のGoogle Cloud サービスとリソースにアクセスするときに、その ID としてサービス アカウントを使用します。

詳細については、mTLS を使用してワークロード間で認証を行うをご覧ください。

次のステップ