Memilih metode autentikasi workload

Dokumen ini menjelaskan cara Anda mengautentikasi aplikasi atau beban kerja yang berjalan di lingkungan produksi di Compute Engine, atau yang sedang diuji secara lokal untuk deployment di masa mendatang ke lingkungan produksi. Anda dapat melakukan hal berikut:

Mengautentikasi beban kerja untuk menggunakan Google API
Mengautentikasi beban kerja Anda ke beban kerja lain melalui mTLS

Mengautentikasi beban kerja untuk menggunakan Google API

Gunakan tabel berikut ini untuk menentukan metode autentikasi yang akan digunakan untuk workload Anda.

Tugas	Metode
Mengautentikasi aplikasi atau workload dalam produksi	Gunakan akun layanan yang terpasang di VM. Ini adalah metode paling umum untuk mengautentikasi aplikasi dan workload yang berjalan di instance virtual machine (VM) di Google Cloud. Untuk petunjuk mendetail, lihat Mengautentikasi workload ke Google Cloud API menggunakan akun layanan.
Mengautentikasi aplikasi atau workload yang sedang dalam pengembangan	Menggunakan Google Cloud SDK dan Kredensial Default Aplikasi. Untuk informasi selengkapnya, lihat Lingkungan pengembangan lokal.
Memberi otorisasi pada aplikasi dan workload yang memerlukan akses ke resource pengguna akhir	Jika Anda mem-build solusi pengembangan atau administrasi yang memungkinkan pengguna memberi Anda akses ke resource Google Cloud mereka, dapatkan akses untuk aplikasi Anda ke resource pengguna menggunakan OAuth 2.0. Untuk petunjuk mendetail, lihat Menggunakan OAuth 2.0 untuk Aplikasi Server Web. Dalam permintaan Anda, tentukan cakupan akses yang membatasi akses hanya ke metode dan informasi pengguna yang diperlukan aplikasi Anda. Untuk daftar lengkap layanan dan cakupan yang diperlukan di Google Cloud, lihat Cakupan OAuth 2.0 untuk Google API.

Tugas

Metode

Mengautentikasi aplikasi atau workload dalam produksi

Gunakan akun layanan yang terpasang di VM.

Ini adalah metode paling umum untuk mengautentikasi aplikasi dan workload yang berjalan di instance virtual machine (VM) di Google Cloud. Untuk petunjuk mendetail, lihat Mengautentikasi workload ke Google Cloud API menggunakan akun layanan.

Mengautentikasi aplikasi atau workload yang sedang dalam pengembangan

Menggunakan Google Cloud SDK dan Kredensial Default Aplikasi. Untuk informasi selengkapnya, lihat Lingkungan pengembangan lokal.

Memberi otorisasi pada aplikasi dan workload yang memerlukan akses ke resource pengguna akhir

Jika Anda mem-build solusi pengembangan atau administrasi yang memungkinkan pengguna memberi Anda akses ke resource Google Cloud mereka, dapatkan akses untuk aplikasi Anda ke resource pengguna menggunakan OAuth 2.0. Untuk petunjuk mendetail, lihat Menggunakan OAuth 2.0 untuk Aplikasi Server Web.

Dalam permintaan Anda, tentukan cakupan akses yang membatasi akses hanya ke metode dan informasi pengguna yang diperlukan aplikasi Anda. Untuk daftar lengkap layanan dan cakupan yang diperlukan di Google Cloud, lihat Cakupan OAuth 2.0 untuk Google API.

Mengautentikasi beban kerja Anda ke beban kerja lain melalui mTLS

Anda dapat mengautentikasi aplikasi atau workload menggunakan identitas workload terkelola. Metode autentikasi ini menggunakan akun layanan, kumpulan certificate authority (CA), dan identitas beban kerja yang dikelola.

Dengan identitas workload terkelola, Anda dapat mengikat identitas yang telah disahkan dengan kuat ke workload Compute Engine. Google Cloud menyediakan kredensial X.509 yang dikeluarkan dari Certificate Authority Service, yang dapat digunakan untuk mengautentikasi workload Anda secara andal dengan workload lain melalui autentikasi TLS bersama (mTLS).

Workload Anda menggunakan identitas workload terkelola sebagai identitasnya saat melakukan autentikasi ke beban kerja lain menggunakan TLS bersama (mTLS), dan menggunakan akun layanan sebagai identitasnya saat mengakses layanan dan resource Google Cloud lainnya.

Untuk informasi selengkapnya, lihat Mengautentikasi beban kerja ke beban kerja lain melalui mTLS.

Langkah selanjutnya

Pelajari konsep berikut lebih lanjut: