このドキュメントでは、Compute Engine の本番環境で実行されているアプリケーションやワークロード、または将来的に本番環境にデプロイするためにローカルでテストしているアプリケーションやワークロードを認証する方法について説明します。以下の操作を行います。
- Google API を使用するためにワークロードを認証する
- mTLS を使用してワークロード間で認証を行う
Google API を使用するためにワークロードを認証する
次の表を使用して、ワークロードに使用する認証方法を判断します。
| タスク | メソッド |
|---|---|
| 本番環境のアプリやワークロードを認証する | VM に関連付けられているサービス アカウントを使用します。 これは、Google Cloud の仮想マシン(VM)インスタンスで実行されているアプリとワークロードを認証するための最も一般的な方法です。詳細な手順については、サービス アカウントを使用して Google Cloud APIs へのワークロードを認証するをご覧ください。 |
| 開発中のアプリやワークロードを認証する | Google Cloud SDK とアプリケーションのデフォルト認証情報を使用します。詳細については、ローカル開発環境の ADC を設定するをご覧ください。 |
| エンドユーザー リソースへのアクセスを必要とするアプリとワークロードを認証する | 開発ツールまたは管理ツールを作成している場合は、ユーザーが Google Cloud リソースへのアクセス権を付与するため、OAuth 2.0 を使用してアプリケーションからユーザー リソースにアクセスします。詳細な手順については、ウェブサーバー アプリケーションに OAuth 2.0 を使用するをご覧ください。 リクエストには、アプリケーションが必要とするメソッドとユーザー情報のみにアクセスを制限するアクセス スコープを指定します。Google Cloud 全体のサービスと必要なスコープの一覧については、Google API の OAuth 2.0 スコープをご覧ください。 |
mTLS を使用してワークロード間で認証を行う
マネージド ワークロード ID を使用して、アプリケーションまたはワークロードを認証できます。この認証方法では、サービス アカウント、認証局(CA)プール、マネージド ワークロード ID を使用します。
マネージド ワークロード ID を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。Google Cloud では、Certificate Authority Service から発行された X.509 証明書がプロビジョニングされます。この証明書を使用することで、相互 TLS(mTLS)認証でワークロード間の認証を確実に行うことができます。
ワークロードは、相互 TLS(mTLS)を使用して他のワークロードを認証する際に、マネージド ワークロード ID を ID として使用します。ワークロードは、他の Google Cloud サービスとリソースにアクセスするときに、その ID としてサービス アカウントを使用します。
詳細については、mTLS を使用してワークロード間で認証を行うをご覧ください。
次のステップ
- 次のコンセプトの詳細を確認する。