Dokumen ini menjelaskan cara Anda mengautentikasi aplikasi atau beban kerja yang berjalan di lingkungan produksi di Compute Engine, atau yang sedang diuji secara lokal untuk deployment di masa mendatang ke lingkungan produksi. Anda dapat melakukan hal berikut:
- Mengautentikasi beban kerja untuk menggunakan Google API
- Mengautentikasi beban kerja Anda ke beban kerja lain melalui mTLS
Mengautentikasi beban kerja untuk menggunakan Google API
Gunakan tabel berikut ini untuk menentukan metode autentikasi yang akan digunakan untuk workload Anda.
Tugas | Metode |
---|---|
Mengautentikasi aplikasi atau workload dalam produksi | Gunakan akun layanan yang terpasang di VM. Ini adalah metode paling umum untuk mengautentikasi aplikasi dan workload yang berjalan di instance virtual machine (VM) di Google Cloud. Untuk petunjuk mendetail, lihat Mengautentikasi workload ke Google Cloud API menggunakan akun layanan. |
Mengautentikasi aplikasi atau workload yang sedang dalam pengembangan | Menggunakan Google Cloud SDK dan Kredensial Default Aplikasi. Untuk informasi selengkapnya, lihat Lingkungan pengembangan lokal. |
Memberi otorisasi pada aplikasi dan workload yang memerlukan akses ke resource pengguna akhir | Jika Anda mem-build solusi pengembangan atau administrasi yang memungkinkan pengguna memberi Anda akses ke resource Google Cloud mereka, dapatkan akses untuk aplikasi Anda ke resource pengguna menggunakan OAuth 2.0. Untuk petunjuk mendetail, lihat Menggunakan OAuth 2.0 untuk Aplikasi Server Web. Dalam permintaan Anda, tentukan cakupan akses yang membatasi akses hanya ke metode dan informasi pengguna yang diperlukan aplikasi Anda. Untuk daftar lengkap layanan dan cakupan yang diperlukan di Google Cloud, lihat Cakupan OAuth 2.0 untuk Google API. |
Mengautentikasi beban kerja Anda ke beban kerja lain melalui mTLS
Anda dapat mengautentikasi aplikasi atau workload menggunakan identitas workload terkelola. Metode autentikasi ini menggunakan akun layanan, kumpulan certificate authority (CA), dan identitas beban kerja yang dikelola.
Dengan identitas workload terkelola, Anda dapat mengikat identitas yang telah disahkan dengan kuat ke workload Compute Engine. Google Cloud menyediakan kredensial X.509 yang dikeluarkan dari Certificate Authority Service, yang dapat digunakan untuk mengautentikasi workload Anda secara andal dengan workload lain melalui autentikasi TLS bersama (mTLS).
Workload Anda menggunakan identitas workload terkelola sebagai identitasnya saat melakukan autentikasi ke beban kerja lain menggunakan TLS bersama (mTLS), dan menggunakan akun layanan sebagai identitasnya saat mengakses layanan dan resource Google Cloud lainnya.
Untuk informasi selengkapnya, lihat Mengautentikasi beban kerja ke beban kerja lain melalui mTLS.
Langkah selanjutnya
- Pelajari konsep berikut lebih lanjut: