このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

認証の基本

API やサービスを操作するには、自分が誰であるかを証明する必要があります。 Cloud de Confiance by S3NS この身元を証明するプロセスを「認証」と呼びます。

を認証するには、身元の証拠として認証情報を提供する必要があります。 Cloud de Confiance by S3NSたとえば、サービスを使用するには、パスワードやワンタイムコードなどの認証情報を使用して認証します。

Cloud de Confiance by S3NS では、認証されたユーザーを「プリンシパル」と呼びます。プロジェクトやストレージバケットなどのリソースにアクセスしようとすると、は、リクエストされたリソースに対するプリンシパルのアクセスレベルを確認します。 Cloud de Confiance by S3NS Cloud de Confiance by S3NSこのプロセスは「認可」と呼ばれ、Identity and Access Management（IAM）というシステムによって処理されます。

これらの同じコンセプトは、ユーザーに代わって自動タスクを実行するコード（「ワークロード」）にも適用されます。ワークロードは、身元を証明してプリンシパルとして認証するための認証情報を提供する必要があります。これにより、 Cloud de Confiance by S3NS は、リクエストされたリソースに対するワークロードのアクセスレベルを判断できます。

プリンシパルのタイプ

認証できるプリンシパルにはさまざまなタイプがあります。タスクのステージや開発環境によって異なるプリンシパルタイプを使用することもできます。

主なプリンシパルタイプと、認証に必要な認証情報は次のとおりです。

サービスアカウント: これは、固有のアカウントで、ワークロードがサービスやリソースにアクセスするために使用できます。 Cloud de Confiance by S3NS 通常、サービスアカウントとして直接認証することはありません。代わりに、Compute Engine VM などのリソースにサービスアカウントを接続するか、サービスアカウントの権限借用を使用します。
フェデレーションプリンシパル: これは、外部 ID プロバイダのユーザーアカウントまたはサービスアカウントを参照する ID です。には、名前が似ている 2 種類のフェデレーションプリンシパルがサポートされています。 Cloud de Confiance by S3NS
- Workforce Identity 連携: 外部 ID プロバイダで管理される ID を使用して、ユーザーが Cloud de Confiance by S3NS にログインできるようにします。組織ですでにシングルサインオン（SSO）が設定されている場合は、このタイプの ID を使用して Cloud de Confiance by S3NSを認証できます。
  
  Workforce Identity 連携を使用するには、ID プロバイダが OpenID Connect（OIDC）または SAML 2.0 をサポートしている必要があります。
- Workload Identity 連携: の外部で実行されているワークロードが Cloud de Confiance by S3NS リソースを操作できるようにします。 Cloud de Confiance by S3NS
  
  Workload Identity 連携は、 X.509 クライアント証明書を使用して認証するワークロード、アマゾンウェブサービス（AWS）または Azureで実行されるワークロード、オンプレミスの Active Directory、 GitHub や GitLabなどのデプロイサービス、 OpenID Connect（OIDC）または Security Assertion Markup Language（SAML）V2.0をサポートする任意の ID プロバイダで使用できます。

のサポートされているプリンシパルタイプについて詳しくは、 Cloud de Confiance by S3NS プリンシパルタイプをご覧ください。

認証用に Cloud de Confiance by S3NS 組織を構成する

組織の認証を設定する場合は、既存のシステムとワークフローをに統合する必要がある場合があります。 Cloud de Confiance by S3NS Cloud de Confiance by S3NS

使用する既存の ID プロバイダがある場合は、設定 Workforce Identity 連携する必要があります。
Cloud de Confiance by S3NS の外部で実行されているワークロードがあり、 Cloud de Confiance by S3NS リソースにアクセスする必要がある場合は、 Workload Identity 連携を設定する必要があります。

環境を保護するために、次の操作を行うことをおすすめします。 Cloud de Confiance by S3NS

ユーザーに対して多要素認証が有効になっていることを確認します。
再認証の設定を変更する必要があるかどうかを確認します。
API キーを管理するためのポリシーを作成します。
サービスアカウントキーを管理するためのポリシーを作成します。

ユーザーとワークロードを認証する

を認証する方法は、 Cloud de Confiance by S3NS 使用している API やサービス、およびそれらの API やサービスを操作する方法によって異なります。

ユーザーを認証する

偶発的な管理タスク、リソースの設定、構成の変更、実験、ログの閲覧など、手動でインタラクティブな作業を行う場合は、ユーザーアカウントの認証情報を使用して認証します。

コンソール

コンソールでインタラクティブな作業を行う場合は、ユーザー認証情報を使用してウェブインターフェースにログインして認証します。 Cloud de Confiance

コンソールに移動 Cloud de Confiance

コンソールセッションと同じ認証情報が Cloud Shellで使用されます。Cloud Shell では、 gcloud CLI にアクセスできます。 Cloud de Confiance

gcloud

ローカルデバイスに gcloud CLI をインストールしたら、ターミナルで次のコマンドを実行して、ユーザー認証情報を使用して Cloud de Confiance by S3NS を認証できます。

gcloud auth login

認証後、後続の gcloud コマンドでは、ログインしたプリンシパルを使用してリクエストを行います。

Workforce Identity 連携認証情報、 Workload Identity 連携認証情報、サービスアカウントキーを使用して認証する方法については、 gcloud CLI の認証をご覧ください。

ワークロードを認証する

ローカルデバイス、 Cloud de Confiance by S3NSオンプレミス、別のクラウドでコードを開発して実行する場合でも、ワークロードを認証する最も柔軟で移植性の高い方法は、アプリケーションのデフォルト認証情報（ADC）というメカニズムを使用して認証情報を提供することです。

ADC を実装するライブラリ（ Cloud de Confiance by S3NS クライアントライブラリなど）は、実行されている環境内の既知の場所で認証情報を確認します。つまり、コードの実行場所を変更しても、コード自体を変更する必要はありません。その環境で使用される認証情報のみを変更します。

たとえば、ローカルで開発する場合は、ADC が認証にユーザー認証情報を使用するように環境を設定できます。コードが本番環境に対応したら、変更せずに Compute Engine VM インスタンスにデプロイし、代わりに有効期間の短いサービスアカウント認証情報を使用して認証するように環境を設定できます。

次のシナリオでは、ADC を使用して認証することはできません。

gcloud CLI を認証する場合。
API キーを使用する場合。API キーは特定の API でのみ使用できます。

特定の環境に ADC を設定する方法については、アプリケーションのデフォルト認証情報を設定するをご覧ください。

次のステップ

のさまざまな認証方法について学習する Cloud de Confiance by S3NS。
プリンシパルが Cloud de Confiance by S3NSでアクセスできるものを制御する方法については、認可とアクセス制御をご覧ください。