Bevor Sie mit Cloud de Confiance by S3NS APIs und Diensten interagieren können, müssen Sie nachweisen, dass Sie die Person sind, für die Sie sich ausgeben. Dieser Prozess des Identitätsnachweises wird als Authentifizierung bezeichnet.
Um sich bei Cloud de Confiance by S3NSzu authentifizieren, müssen Sie Anmeldedaten als Nachweis Ihrer Identität angeben. Wenn Sie beispielsweise einen Dienst verwenden möchten, authentifizieren Sie sich möglicherweise mit Anmeldedaten wie einem Passwort und einem Einmalcode.
Cloud de Confiance by S3NS bezeichnet authentifizierte Nutzer als Hauptkonten. Wenn Sie versuchen, auf eine Ressource wie ein Projekt oder einen Speicher-Bucket zuzugreifen, wird geprüft, welche Zugriffsebene Ihr Hauptkonto auf die angeforderte Ressource hat. Cloud de Confiance by S3NS Cloud de Confiance by S3NSDieser Prozess wird als Autorisierung bezeichnet und von einem System namens Identity and Access Management (IAM) verwaltet.
Dieselben Konzepte gelten für Code, der in Ihrem Namen automatisierte Aufgaben ausführt. Dieser Code wird als Arbeitslast bezeichnet. Eine Arbeitslast muss Anmeldedaten angeben, um ihre Identität nachzuweisen und sich als Hauptkonto zu authentifizieren. Anschließend kann ermitteln welche Zugriffsebene die Arbeitslast auf die angeforderten Ressourcen hat. Cloud de Confiance by S3NS
Hauptkontotypen
Es gibt verschiedene Arten von Hauptkonten, als die Sie sich authentifizieren können. Sie können sogar verschiedene Hauptkontotypen in verschiedenen Phasen einer Aufgabe oder in verschiedenen Entwicklungsumgebungen verwenden.
Die primären Hauptkontotypen und die Anmeldedaten, die für die Authentifizierung erforderlich sind, sind:
Nutzerkonten: Das sind Google-Konten, die von Personen für interaktive Aufgaben verwendet werden, z. B. gelegentliche Verwaltungsaufgaben, nicht programmatische Konfiguration von Cloud de Confiance by S3NS Diensten, Tests, Experimente und Beobachtbarkeit.
Sie authentifizieren sich als Nutzerkonto mit Nutzeranmeldedaten wie einem Passwort und einem Einmalcode.
Dienstkonten: Das sind interne Konten, die von Cloud de Confiance by S3NS Arbeitslasten verwendet werden können, um auf Dienste oder Ressourcen zuzugreifen. In der Regel authentifizieren Sie sich nicht direkt als Dienstkonto. Stattdessen verknüpfen Sie ein Dienstkonto mit einer Ressource wie einer Compute Engine-VM oder verwenden die Dienstkonto-Identitätswechsel.
In den meisten Fällen empfehlen wir, kurzlebige Anmeldedaten für Dienstkonten zu verwenden, um ein Dienstkonto zu authentifizieren.
Verbundidentitäten: Das sind Identitäten, die auf Nutzer- oder Dienst konten in einem externen Identitätsanbieter verweisen. Es gibt zwei Arten von Verbundidentitäten, die von Cloud de Confiance by S3NSunterstützt werden und ähnliche Namen haben:
Mitarbeiteridentitätsföderation: Ermöglicht es menschlichen Nutzern, sich mit Identitäten bei anzumelden, die von einem externen Identitätsanbieter verwaltet werden. Cloud de Confiance by S3NS Wenn in Ihrer Organisation bereits die Einmalanmeldung (Single Sign-On, SSO) eingerichtet ist, können Sie diesen Identitätstyp verwenden, um sich bei zu authentifizieren Cloud de Confiance by S3NS.
Ihr Identitätsanbieter muss OpenID Connect (OIDC) oder SAML 2.0 unterstützen, um die Mitarbeiteridentitätsföderation zu verwenden.
Identitätsföderation von Arbeitslasten: Ermöglicht es Arbeitslasten, die außerhalb von ausgeführt werden, mit Cloud de Confiance by S3NS Ressourcen zu arbeiten. Cloud de Confiance by S3NS
Sie können die Identitätsföderation von Arbeitslasten mit Arbeitslasten verwenden, die sich mit X.509-Clientzertifikatenauthentifizieren; die in Amazon Web Services (AWS) oder Azureausgeführt werden; lokalem Active Directory; Bereitstellungsdiensten wie GitHub und GitLab; und mit einem beliebigen Identitätsanbieter, der OpenID Connect (OIDC) oder Security Assertion Markup Language (SAML) V2.0unterstützt.
Weitere Informationen zu diesen und anderen unterstützten Hauptkontotypen in Cloud de Confiance by S3NS, finden Sie unter Hauptkontotypen.
Organisation für die Authentifizierung konfigurieren Cloud de Confiance by S3NS
Wenn Sie die Authentifizierung für Ihre Cloud de Confiance by S3NS Organisation einrichten, müssen Sie möglicherweise vorhandene Systeme und Workflows in integrieren Cloud de Confiance by S3NS:
Wenn Sie einen vorhandenen Identitätsanbieter verwenden möchten, müssen Sie die Mitarbeiteridentitätsföderation einrichten.
Wenn Sie Arbeitslasten außerhalb von Cloud de Confiance by S3NS haben, die Zugriff auf Cloud de Confiance by S3NS Ressourcen benötigen, müssen Sie die Identitätsföderation von Arbeitslasten einrichten.
Außerdem empfehlen wir, Folgendes zu tun, um Ihre Cloud de Confiance by S3NS Umgebung zu schützen:
Achten Sie darauf, dass die Multi-Faktor-Authentifizierung aktiviert ist für Ihre Nutzer.
Prüfen Sie, ob Sie die Einstellungen für die erneute Authentifizierung ändern müssen.
Erstellen Sie Richtlinien zum Verwalten von API-Schlüsseln.
Erstellen Sie Richtlinien für die Verwaltung von Dienstkontoschlüsseln.
Personen und Arbeitslasten authentifizieren
Wie Sie sich bei Cloud de Confiance by S3NS authentifizieren, hängt von den APIs und Diensten ab, die Sie verwenden, und von der Art und Weise, wie Sie mit diesen APIs und Diensten interagieren.
Personen authentifizieren
Bei manuellen, interaktiven Aufgaben wie gelegentlichen Verwaltungsaufgaben, dem Einrichten von Ressourcen, dem Ändern von Konfigurationen, Experimenten und dem Durchsuchen von Logs authentifizieren Sie sich mit den Anmeldedaten Ihres Nutzerkontos.
Console
Für interaktive Aufgaben in der Cloud de Confiance Console authentifizieren Sie sich, indem Sie sich mit Ihren Nutzeranmeldedaten in der Weboberfläche anmelden.
Rufen Sie die Cloud de Confiance Console auf.
Dieselben Anmeldedaten für Ihre Cloud de Confiance Console-Sitzung werden für Cloud Shell verwendet, wo Sie auf die gcloud CLI zugreifen können.
gcloud
Nachdem Sie die gcloud CLI auf Ihrem lokalen Gerät installiert haben, können Sie sich mit Ihren Nutzeranmeldedaten bei authentifizieren Cloud de Confiance by S3NS indem Sie den folgenden Befehl in Ihrem Terminal ausführen:
gcloud auth login
Nach der Authentifizierung verwenden nachfolgende gcloud-Befehle das angemeldete Hauptkonto, um Anfragen zu stellen.
Informationen zur Authentifizierung mit Anmeldedaten für die Mitarbeiteridentitätsföderation, Anmeldedaten für die Identitätsföderation von Arbeitslasten oder Dienstkontoschlüsseln finden Sie unter Für die Verwendung der gcloud CLI authentifizieren.
Arbeitslasten authentifizieren
Unabhängig davon, ob Sie Code auf Ihrem lokalen Gerät, in Cloud de Confiance by S3NS, lokal oder in einer anderen Cloud entwickeln und ausführen, ist die flexibelste und portabelste Methode zum Authentifizieren Ihrer Arbeitslast, Anmeldedaten über einen Mechanismus namens Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) bereitzustellen.
Bibliotheken, die ADC implementieren (z. B. die Cloud de Confiance by S3NS Clientbibliotheken), suchen an bekannten Orten in der Umgebung, in der sie ausgeführt werden, nach Anmeldedaten. Wenn Sie also ändern, wo Ihr Code ausgeführt wird, müssen Sie den Code selbst nicht ändern, sondern nur die Anmeldedaten, die für diese Umgebung verwendet werden.
Wenn Sie beispielsweise lokal entwickeln, können Sie Ihre Umgebung so einrichten, dass ADC Ihre Nutzeranmeldedaten für die Authentifizierung verwendet. Wenn Ihr Code für die Produktion bereit ist, können Sie ihn unverändert in einer Compute Engine-VM-Instanz bereitstellen und die Umgebung so einstellen, dass stattdessen kurzlebige Anmeldedaten für Dienstkonten zur Authentifizierung verwendet werden.
In den folgenden Fällen können Sie ADC nicht zur Authentifizierung verwenden:
Bei der Authentifizierung der gcloud CLI.
Bei Verwendung eines API-Schlüssels. API-Schlüssel können nur mit bestimmten APIs verwendet werden.
Informationen zum Einrichten von ADC für bestimmte Umgebungen finden Sie unter Standardanmeldedaten für Anwendungen einrichten.
Nächste Schritte
Weitere Informationen zu den verschiedenen Authentifizierungsmethoden für Cloud de Confiance by S3NS.
Informationen dazu, wie Sie steuern, worauf ein Hauptkonto in Cloud de Confiance by S3NSzugreifen kann, finden Sie unter Autorisierung und Zugriffssteuerung.