ワークロードの認証方法を選択する


このドキュメントでは、Compute Engine の本番環境で実行されているアプリケーションやワークロード、または将来的に本番環境にデプロイするためにローカルでテストしているアプリケーションやワークロードを認証する方法について説明します。以下の操作を行います。

  • Google API を使用するためにワークロードを認証する
  • mTLS を使用してワークロード間で認証を行う

Google API を使用するためにワークロードを認証する

次の表を使用して、ワークロードに使用する認証方法を判断します。

タスク メソッド
本番環境のアプリやワークロードを認証する

VM に関連付けられているサービス アカウントを使用します。


これは、 Google Cloudの仮想マシン(VM)インスタンスで実行されているアプリとワークロードを認証するための最も一般的な方法です。詳細な手順については、 サービス アカウントを使用して Google Cloud API へのワークロードを認証するをご覧ください。

開発中のアプリやワークロードを認証する Google Cloud SDK とアプリケーションのデフォルト認証情報を使用します。詳細については、ローカル開発環境の ADC を設定するをご覧ください。
エンドユーザー リソースへのアクセスを必要とするアプリとワークロードを認証する

開発ツールまたは管理ツールを作成している場合は、ユーザーがリソースへのアクセス権を付与するため、OAuth 2.0 を使用してアプリケーションからユーザー リソースにアクセスします。 Google Cloud 詳細な手順については、 ウェブサーバー アプリケーションに OAuth 2.0 を使用するをご覧ください。


リクエストには、アプリケーションが必要とするメソッドとユーザー情報のみにアクセスを制限するアクセス スコープを指定します。 Google Cloud全体のサービスと必要なスコープの一覧については、 Google API の OAuth 2.0 スコープをご覧ください。

mTLS を使用してワークロード間で認証を行う

マネージド ワークロード ID を使用して、アプリケーションまたはワークロードを認証できます。この認証方法では、サービス アカウント、認証局(CA)プール、マネージド ワークロード ID を使用します。

マネージド ワークロード ID を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。 Google Cloud は、Certificate Authority Service から発行された X.509 証明書をプロビジョニングします。この証明書は、相互 TLS(mTLS)認証でワークロード間の認証を確実に行うために使用できます。

ワークロードは、相互 TLS(mTLS)を使用して他のワークロードを認証する際に、マネージド ワークロード ID を ID として使用します。ワークロードは、他のGoogle Cloud サービスとリソースにアクセスするときに、その ID としてサービス アカウントを使用します。

詳細については、mTLS を使用してワークロード間で認証を行うをご覧ください。

次のステップ