选择工作负载身份验证方法


本文档介绍了如何对在 Compute Engine 上的生产环境中运行或者在本地进行测试以便将来部署到生产环境的应用或工作负载进行身份验证。您可以执行以下操作:

  • 对工作负载进行身份验证以使用 Google API
  • 通过 mTLS 向其他工作负载验证您的工作负载的身份

对工作负载进行身份验证以使用 Google API

请使用下表确定要用于工作负载的身份验证方法。

任务 方法
对生产环境中的应用或工作负载进行身份验证

使用关联到虚拟机的服务账号。


这是对在 Google Cloud 上的虚拟机实例上运行的应用和工作负载进行身份验证的最常见方法。如需了解详细说明,请参阅使用服务账号向 Google Cloud API 验证工作负载身份

对开发环境中的应用或工作负载进行身份验证 使用 Google Cloud SDK 和应用默认凭据。如需了解详情,请参阅本地开发环境
向需要访问最终用户资源的应用和工作负载授权

如果您正在构建开发或管理工具(在这种情况下,用户会向您授予其 Google Cloud 资源的访问权限),请使用 OAuth 2.0 获取您的应用对用户资源的访问权限。如需了解详细说明,请参阅对 Web 服务器应用使用 OAuth 2.0


在您的请求中,请指定一个访问权限范围加以限制,使您只能访问您的应用需要的方法和用户信息。如需查看 Google Cloud 中服务及所需范围的完整列表,请参阅 Google API 的 OAuth 2.0 范围

通过 mTLS 向其他工作负载验证您的工作负载的身份

您可以使用托管式工作负载身份对应用或工作负载进行身份验证。此身份验证方法使用服务账号、证书授权机构 (CA) 池和托管式工作负载身份。

通过托管式工作负载身份,您可以将经过严格证明的身份绑定到 Compute Engine 工作负载。Google Cloud 会预配从 Certificate Authority Service 颁发的 X.509 凭据,可以使用这些凭据通过双向 TLS (mTLS) 身份验证向其他工作负载可靠地验证您的工作负载的身份。

您的工作负载在使用双向 TLS (mTLS) 向其他工作负载进行身份验证时,会使用托管式工作负载身份作为其身份,并在访问其他 Google Cloud 服务和资源时使用服务账号作为其身份。

如需了解详情,请参阅通过 mTLS 向其他工作负载验证工作负载的身份

后续步骤