Scegli un metodo di autenticazione del carico di lavoro


Questo documento descrive come autenticare le applicazioni o i carichi di lavoro in esecuzione in un ambiente di produzione su Compute Engine o in fase di test locale per il futuro deployment nell'ambiente di produzione. Puoi:

  • Autentica i tuoi workload per utilizzare le API di Google
  • Autentica i tuoi workload con altri workload tramite mTLS

Autentica i tuoi workload per utilizzare le API di Google

Utilizza la tabella seguente per determinare quale metodo di autenticazione utilizzare per i tuoi carichi di lavoro.

Attività Metodo
Autentica le app o i carichi di lavoro in produzione

Utilizza l'account di servizio associato alla VM.


Questo è il metodo più comune per autenticare le app e i workload in esecuzione su istanze di macchine virtuali (VM) su Google Cloud. Per istruzioni dettagliate, consulta Autentica i carichi di lavoro per le API Google Cloud utilizzando gli account di servizio.

Autenticare app o carichi di lavoro in fase di sviluppo Utilizza Google Cloud SDK e le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare ADC per un ambiente di sviluppo locale.
Autorizzazione di app e carichi di lavoro che richiedono l'accesso alle risorse degli utenti finali

Se stai creando strumenti di sviluppo o amministrazione in cui gli utenti ti concedono l'accesso alle loro risorse Google Cloud, fai in modo che la tua applicazione acceda alle risorse degli utenti utilizzando OAuth 2.0. Per istruzioni dettagliate, consulta Utilizzo di OAuth 2.0 per applicazioni server web.


Nella richiesta, specifica un ambito di accesso che limiti l'accesso solo ai metodi e alle informazioni utente richiesti dalla tua applicazione. Per un elenco completo dei servizi e degli ambiti richiesti in Google Cloud, consulta Ambiti OAuth 2.0 per le API di Google.

Autentica i tuoi workload con altri workload tramite mTLS

Puoi autenticare applicazioni o carichi di lavoro utilizzando identità di carico di lavoro gestite. Questo metodo di autenticazione utilizza un account di servizio, pool di autorità di certificazione (CA) e identità di workload gestite.

Le identità per i carichi di lavoro gestite ti consentono di associare identità fortemente attestate ai tuoi carichi di lavoro Compute Engine. Google Cloud esegue il provisioning delle credenziali X.509 rilasciate dal servizio Certificate Authority che possono essere utilizzate per autenticare in modo affidabile il tuo carico di lavoro con altri carichi di lavoro tramite l'autenticazione TLS mutuale (mTLS).

Il tuo carico di lavoro utilizza l'identità del carico di lavoro gestito come identità quando si autentica in altri carichi di lavoro utilizzando TLS mutuale (mTLS) e utilizza l'account di servizio come identità quando accede ad altri servizi e risorse Google Cloud.

Per ulteriori informazioni, consulta Autenticare i workload con altri workload tramite mTLS.

Passaggi successivi