Arbeitslast-Authentifizierungsmethode auswählen


In diesem Dokument wird beschrieben, wie Sie Anwendungen oder Arbeitslasten authentifizieren, die entweder in einer Produktionsumgebung in Compute Engine ausgeführt oder für eine zukünftige Bereitstellung in der Produktionsumgebung lokal getestet werden. In diesem Fall können Sie folgende Aktionen ausführen:

  • Arbeitslasten für die Verwendung von Google APIs authentifizieren
  • Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren

Arbeitslasten für die Verwendung von Google APIs authentifizieren

Anhand der folgenden Tabelle können Sie ermitteln, welche Authentifizierungsmethode für Ihre Arbeitslasten verwendet werden soll.

Task (Aufgabe) Methode
Authentifizieren Sie Anwendungen oder Arbeitslasten in der Produktion

Verwenden Sie das Dienstkonto, das der VM zugeordnet ist.


Dies ist die gängigste Methode zur Authentifizierung von Anwendungen und Arbeitslasten, die auf VM-Instanzen in Google Cloud ausgeführt werden. Eine ausführliche Anleitung finden Sie unter Arbeitslasten mithilfe von Dienstkonten bei Google Cloud APIs authentifizieren.

Anwendungen oder Arbeitslasten authentifizieren, die sich in der Entwicklung befinden Google Cloud SDK und Standardanmeldedaten für Anwendungen verwenden. Weitere Informationen finden Sie unter Lokale Entwicklungsumgebung.
Anwendungen und Arbeitslasten autorisieren, die Zugriff auf Endnutzerressourcen benötigen

Wenn Sie Entwicklungs- oder Verwaltungstools erstellen, bei denen Nutzer den Zugriff auf ihre Google Cloud-Ressourcen erlauben, erhalten Sie mit OAuth 2.0 Zugriff auf Ihre Anwendung. Eine ausführliche Anleitung finden Sie unter OAuth 2.0 für Webserveranwendungen verwenden.


Begrenzen Sie in der Anfrage den Zugriffsbereich auf die Methoden und Nutzerinformationen, die die Anwendung benötigt. Eine vollständige Liste der Dienste und erforderlichen Bereiche in Google Cloud finden Sie unter OAuth 2.0-Bereiche für Google APIs.

Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren

Sie können Anwendungen oder Arbeitslasten mit verwalteten Arbeitslastidentitäten authentifizieren. Diese Authentifizierungsmethode verwendet ein Dienstkonto, CA-Pools und verwaltete Arbeitslastidentitäten.

Mit verwalteten Arbeitslastidentitäten können Sie stark bestätigte Identitäten an Ihre Compute Engine-Arbeitslasten binden. Google Cloud stellt X.509-Anmeldedaten zur Verfügung, die vom Certificate Authority Service ausgestellt werden und mit denen Sie Ihre Arbeitslasten über gegenseitige TLS-Authentifizierung (mTLS) zuverlässig bei anderen Arbeitslasten authentifizieren können.

Ihre Arbeitslast verwendet die verwaltete Arbeitslastidentität als Identität, wenn sie sich bei anderen Arbeitslasten über gegenseitiges TLS (mTLS) authentifiziert, und verwendet das Dienstkonto als Identität, wenn sie auf andere Google Cloud-Dienste und -Ressourcen zugreift.

Weitere Informationen finden Sie unter Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren.

Nächste Schritte