Elige un método de autenticación de carga de trabajo


En este documento, se describe cómo autenticas aplicaciones o cargas de trabajo que se ejecutan en un entorno de producción en Compute Engine o se prueban de forma local para su implementación futura en el entorno de producción. Puedes realizar lo siguiente:

  • Autentica tus cargas de trabajo para usar las APIs de Google
  • Autentica tus cargas de trabajo en otras cargas de trabajo a través de mTLS

Autentica tus cargas de trabajo para usar las APIs de Google

Usa la siguiente tabla para determinar qué método de autenticación usar para tus cargas de trabajo.

Tarea Método
Autentica apps o cargas de trabajo que están en producción

Usa la cuenta de servicio conectada a la VM.


Este es el método más común para autenticar apps y cargas de trabajo que se ejecutan en instancias de máquinas virtuales (VMs) en Google Cloud. Para obtener instrucciones detalladas, consulta Autentica cargas de trabajo en las APIs de Google Cloud con cuentas de servicio.

Autentica apps o cargas de trabajo que están en desarrollo Usa el SDK de Google Cloud y las credenciales predeterminadas de la aplicación. Para obtener más información, consulta Entorno de desarrollo local.
Autoriza apps y cargas de trabajo que necesitan acceso a los recursos del usuario final

Si compilas herramientas de desarrollo o administración en las que los usuarios te otorgan acceso a sus recursos de Google Cloud, haz que tu aplicación acceda a los recursos del usuario con OAuth 2.0. Si deseas obtener instrucciones detalladas, consulta Usa OAuth 2.0 para aplicaciones de servidor web.


En la solicitud, especifica un permiso de acceso que limite el acceso solo a los métodos y la información del usuario que requiere la aplicación. Si deseas obtener una lista completa de servicios y alcances obligatorios en Google Cloud, consulta Alcances de OAuth 2.0 para las APIs de Google.

Autentica tus cargas de trabajo en otras cargas de trabajo a través de mTLS

Puedes autenticar aplicaciones o cargas de trabajo mediante identidades de carga de trabajo administradas. Este método de autenticación usa una cuenta de servicio, grupos de autoridades certificadoras (CA) e identidades de carga de trabajo administradas.

Las identidades de cargas de trabajo administradas te permiten vincular identidades certificadas con confianza a tus cargas de trabajo de Compute Engine. Google Cloud aprovisiona credenciales X.509 emitidas por Certificate Authority Service que se puede usar para autenticar de forma confiable tu carga de trabajo con otras cargas de trabajo a través de TLS mutua (mTLS).

Tu carga de trabajo usa la identidad de la carga de trabajo administrada como su identidad cuando se autentica en otras cargas de trabajo mediante TLS mutua (mTLS) y usa la cuenta de servicio como su identidad cuando accede a otros servicios y recursos de Google Cloud.

Para obtener más información, consulta Autentica cargas de trabajo en otras cargas de trabajo mediante mTLS.

¿Qué sigue?