Ce document explique comment authentifier les applications ou les charges de travail qui s'exécutent dans un environnement de production sur Compute Engine, ou qui sont testées en local pour un déploiement ultérieur dans l'environnement de production. Vous pouvez procéder comme suit :
- Authentifier vos charges de travail pour utiliser les API Google
- Authentifier vos charges de travail auprès d'autres charges de travail via mTLS
Authentifier vos charges de travail pour utiliser les API Google
Le tableau suivant vous permet de déterminer la méthode d'authentification à utiliser pour vos charges de travail.
| Tâche | Méthode |
|---|---|
| Authentifier des applications ou des charges de travail en production | Utilisez le compte de service associé à la VM. Il s'agit de la méthode la plus courante pour authentifier les applications et les charges de travail qui sont exécutées sur des instances de machine virtuelle (VM) dans Google Cloud. Pour obtenir des instructions détaillées, consultez la page Authentifier des charges de travail auprès des API Google Cloud à l'aide de comptes de service. |
| Authentifier des applications ou des charges de travail en cours de développement | Utilisez Google Cloud SDK et Identifiants par défaut de l'application. Pour plus d'informations, consultez la section Environnement de développement local. |
| Autoriser des applications et des charges de travail qui ont besoin d'accéder aux ressources de l'utilisateur final | Si vous créez des outils de développement ou d'administration dans lesquels les utilisateurs vous accordent l'accès à leurs ressources Google Cloud, vous devez permettre à vos applications d'accéder aux ressources utilisateur à l'aide d'OAuth 2.0. Pour obtenir des instructions détaillées, consultez la page Utiliser OAuth 2.0 pour les applications de serveur Web. Dans votre requête, spécifiez un niveau d'accès qui limite votre accès aux seules méthodes et informations utilisateur requises par votre application. Pour obtenir la liste complète des services et des champs d'application requis pour l'ensemble de Google Cloud, consultez la page Champs d'application OAuth 2.0 pour les API Google. |
Authentifier vos charges de travail auprès d'autres charges de travail via mTLS
Vous pouvez authentifier des applications ou des charges de travail à l'aide des identités de charge de travail gérées. Cette méthode d'authentification utilise un compte de service, des pools d'autorités de certification et des identités de charge de travail gérées.
Les identités de charge de travail gérées vous permettent d'associer des identités fortement certifiées à vos charges de travail Compute Engine. Google Cloud provisionne des identifiants X.509 émis par Certificate Authority Service et pouvant être utilisés pour authentifier de manière fiable votre charge de travail avec d'autres charges de travail via l'authentification TLS mutuel (mTLS).
Votre charge de travail utilise l'identité de charge de travail gérée comme identité lorsqu'elle s'authentifie auprès d'autres charges de travail à l'aide du protocole TLS mutuel (mTLS) et utilise le compte de service comme identité pour accéder à d'autres services et ressources Google Cloud.
Pour en savoir plus, consultez la page Authentifier des charges de travail auprès d'autres charges de travail via mTLS.
Étapes suivantes
- Découvrez-en davantage sur les concepts suivants :