Para usar o Google Cloud, os usuários e as cargas de trabalho precisam de uma identidade que o Google Cloud possa reconhecer.
Nesta página, descrevemos os métodos que podem ser usados para configurar identidades para usuários e cargas de trabalho.
Identidades de usuário
Há várias maneiras de configurar identidades de usuário para que o Google Cloud possa reconhecê-las:
- Criar contas do Cloud Identity ou do Google Workspace: os usuários com contas do Cloud Identity ou do Google Workspace podem se autenticar no Google Cloud e receber autorização para usar os recursos dele. As contas do Cloud Identity e do Google Workspace são contas de usuário gerenciadas pela sua organização.
- Configure uma das seguintes estratégias de identidade federada:
- Federação usando o Cloud Identity ou o Google Workspace: sincronize identidades externas com as contas correspondentes do Cloud Identity ou do Google Workspace para que os usuários possam fazer login nos serviços do Google com as credenciais externas. Com esse método, os usuários precisam de duas contas: uma externa e uma do Cloud Identity ou Google Workspace. É possível manter essas contas sincronizadas usando uma ferramenta como o Google Cloud Directory Sync (GCDS).
- Federação de identidade da força de trabalho: use um provedor de identidade externo (IdP) para autenticar e autorizar seus usuários, permitindo que eles façam login no Google Cloud e acessem recursos e produtos do Google com credenciais externas. Com a federação de identidade de colaboradores, os usuários só precisam de uma conta: a conta externa.
Para saber mais sobre esses métodos de configuração de identidades de usuário, consulte Visão geral de identidades de usuário.
Identidades de carga de trabalho
O Google Cloud fornece contas de serviço para atuar como identidades de cargas de trabalho. Em vez de conceder acesso a uma carga de trabalho diretamente, conceda acesso a uma conta de serviço e permita que ela utilize a conta de serviço como identidade.
Há várias maneiras de permitir que uma carga de trabalho use uma conta de serviço como identidade. O método a ser usado depende do local em que as cargas de trabalho estão em execução.
Se você estiver executando cargas de trabalho no Google Cloud, poderá usar os seguintes métodos para configurar identidades de carga de trabalho:
- Contas de serviço anexadas: anexe uma conta de serviço a um recurso para que a conta de serviço atue como a identidade padrão do recurso. Todas as cargas de trabalho em execução no recurso usam a identidade da conta de serviço ao acessar os serviços do Google Cloud.
- Credenciais da conta de serviço de curta duração: gere e use credenciais de conta de serviço de curta duração sempre que seus recursos precisarem acessar os serviços do Google Cloud. Os tipos de credenciais mais comuns são tokens de acesso do OAuth 2.0 e tokens de ID do OpenID Connect (OIDC).
- Identidade da carga de trabalho do Google Kubernetes Engine: permita que sua conta de serviço do GKE atue como uma conta de serviço do IAM ao acessar os recursos do Google Cloud. Esse tipo de identidade se aplica apenas às cargas de trabalho do Google Kubernetes Engine.
Se você estiver executando cargas de trabalho fora do Google Cloud, use os seguintes métodos para configurar identidades de carga de trabalho:
- Federação de identidade da carga de trabalho: use credenciais de provedores de identidade externos para gerar credenciais de curta duração, que as cargas de trabalho podem usar para representar temporariamente as contas de serviço. As cargas de trabalho podem acessar os recursos do Google Cloud usando a conta de serviço como identidade.
Chaves de conta de serviço: use a parte particular do par de chaves RSA pública/privada de uma conta de serviço para autenticar como a conta de serviço.
Para saber mais sobre esses métodos de configuração de identidades de carga de trabalho, consulte Visão geral de identidades de carga de trabalho.