Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Princípios básicos da autenticação

Antes de interagir com Cloud de Confiance by S3NS APIs e serviços, você precisa provar que é quem diz ser. Esse processo de comprovação de identidade é conhecido como autenticação.

Para autenticar no Cloud de Confiance by S3NS, você precisa fornecer credenciais como evidência de sua identidade. Por exemplo, para usar um serviço, você pode se autenticar usando credenciais como uma senha e um código único.

Cloud de Confiance by S3NS refere-se a usuários autenticados como principais. Quando você tenta acessar um recurso, como um Cloud de Confiance by S3NS projeto ou um bucket do Cloud Storage, Cloud de Confiance by S3NS verifica o nível de acesso que o principal tem ao recurso solicitado. Esse processo é chamado de autorização e é processado por um sistema chamado Identity and Access Management (IAM).

Esses mesmos conceitos se aplicam ao código que executa tarefas automatizadas em seu nome, conhecidas como cargas de trabalho. Uma carga de trabalho precisa fornecer credenciais para comprovar a identidade e autenticar como um principal. Depois disso, Cloud de Confiance by S3NS pode determinar o nível de acesso que a carga de trabalho tem aos recursos solicitados.

Tipos principais

Há diferentes tipos de principais que podem ser autenticados. Você pode até usar diferentes tipos de principais em diferentes estágios de uma tarefa ou em diferentes ambientes de desenvolvimento.

Os principais tipos de principais e as credenciais necessárias para autenticar incluem o seguinte:

Contas de serviço: são contas específicas do Cloud de Confiance by S3NS que as cargas de trabalho podem usar para acessar serviços ou recursos. Normalmente, você não se autentica como uma conta de serviço diretamente. Em vez disso, você anexa uma conta de serviço a um recurso, como uma VM do Compute Engine , ou usa identidade temporária de conta de serviço.
Principais federados: são identidades que referenciam contas de usuário ou de serviço em um provedor de identidade externo. Há dois tipos de principais federados com suporte no Cloud de Confiance by S3NS, que têm nomes semelhantes:
- Federação de identidade de colaboradores: permite que usuários humanos façam login Cloud de Confiance by S3NS com identidades gerenciadas por um provedor de identidade externo. Se a organização já tiver o logon único (SSO) configurado, você poderá usar esse tipo de identidade para autenticar no Cloud de Confiance by S3NS.
  
  O provedor de identidade precisa oferecer suporte a OpenID Connect (OIDC) ou SAML 2.0 para usar a federação de identidade de colaboradores.
- Federação de identidade da carga de trabalho: permite que cargas de trabalho executadas fora do Cloud de Confiance by S3NS operem em Cloud de Confiance by S3NS recursos.
  
  É possível usar a federação de identidade da carga de trabalho com cargas de trabalho que se autenticam usando certificados de cliente X.509; que são executadas na Amazon Web Services (AWS) ou no Azure; no Active Directory local; em serviços de implantação, como o GitHub e o GitLab; e com qualquer provedor de identidade que ofereça suporte ao OpenID Connect (OIDC) ou à Linguagem de marcação para autorização de segurança (SAML) V2.0.

Para saber mais sobre esses e outros tipos de principais com suporte em Cloud de Confiance by S3NS, consulte Tipos principais.

Configurar sua Cloud de Confiance by S3NS organização para autenticação

Ao configurar a autenticação para sua Cloud de Confiance by S3NS organização, talvez seja necessário integrar sistemas e fluxos de trabalho atuais ao Cloud de Confiance by S3NS:

Se você tiver um provedor de identidade que queira usar, você precisa configurar a federação de identidade de colaboradores.
Se você tiver cargas de trabalho em execução fora do Cloud de Confiance by S3NS que precisam de acesso a Cloud de Confiance by S3NS recursos, configure a federação de identidade da carga de trabalho.

Também recomendamos que você faça o seguinte para ajudar a proteger seu Cloud de Confiance by S3NS ambiente:

Verifique se a autenticação multifator está ativada para seus usuários.
Verifique se é necessário mudar as configurações de reautenticação.
Crie políticas para gerenciar chaves de API.
Crie políticas para gerenciar conta de serviço de serviço.

Autenticar humanos e cargas de trabalho

A forma de autenticação no Cloud de Confiance by S3NS depende das APIs e dos serviços que você está usando e da maneira como interage com eles.

Autenticar humanos

Ao realizar trabalhos manuais e interativos, como tarefas administrativas incidentais, configuração de recursos, mudança de configurações, experimentos e navegação em registros, você usa as credenciais da sua conta de usuário para autenticar.

Console

Para trabalhos interativos no Cloud de Confiance console, você se autentica fazendo login na interface da Web com suas credenciais de usuário.

Acesse o Cloud de Confiance console

As mesmas credenciais da sessão do Cloud de Confiance console são usadas para o Cloud Shell, em que você pode acessar a CLI gcloud.

gcloud

Depois de instalar a CLI gcloud no dispositivo local, você pode usar as credenciais de usuário para autenticar no Cloud de Confiance by S3NS executando o seguinte comando no terminal:

gcloud auth login

Depois da autenticação, os comandos gcloud subsequentes usam o principal conectado para fazer as solicitações.

Para autenticar com credenciais da federação de identidade de colaboradores, credenciais da federação de identidade da carga de trabalho ou chaves de conta de serviço, consulte Autenticação para a CLI gcloud.

Autenticar cargas de trabalho

Se você estiver desenvolvendo e executando código no dispositivo local, no Cloud de Confiance by S3NS, no local ou em outra nuvem, a maneira mais flexível e portátil de autenticar a carga de trabalho é fornecer credenciais por um mecanismo chamado Application Default Credentials (ADC).

As bibliotecas que implementam o ADC (como as Cloud de Confiance by S3NS bibliotecas de cliente) verificam locais conhecidos no ambiente em que são executadas para credenciais. Isso significa que, se você mudar o local de execução do código, não será necessário mudar o código em si, apenas as credenciais usadas para esse ambiente.

Por exemplo, ao desenvolver localmente, você pode definir o ambiente para que o ADC use as credenciais de usuário para autenticação. Quando o código estiver pronto para produção, você poderá implantá-lo sem alterações em uma instância de VM do Compute Engine e definir o ambiente para usar credenciais de conta de serviço de curta duração para autenticação.

Não é possível usar o ADC para autenticar nos seguintes cenários:

Ao autenticar a CLI gcloud.
Ao usar uma chave de API. As chaves de API só podem ser usadas com APIs específicas.

Para saber como configurar o ADC para ambientes específicos, consulte Configurar o Application Default Credentials.

A seguir

Saiba mais sobre os diferentes métodos de autenticação para Cloud de Confiance by S3NS.
Para entender como controlar o que um principal pode acessar no Cloud de Confiance by S3NS, consulte Autorização e controle de acesso.