Halaman ini diterjemahkan oleh Cloud Translation API.

Pengelolaan identitas untuk Google Cloud

Untuk menggunakan Google Cloud, pengguna dan beban kerja memerlukan identitas yang dapat dikenali oleh Google Cloud .

Halaman ini menguraikan metode yang dapat Anda gunakan untuk mengonfigurasi identitas bagi pengguna dan beban kerja.

Identitas Pengguna

Ada beberapa cara untuk mengonfigurasi identitas pengguna agar Google Cloud dapat mengenalinya:

Membuat akun Cloud Identity atau Google Workspace: Pengguna dengan akun Cloud Identity atau Google Workspace dapat melakukan autentikasi ke Google Cloud dan diberi otorisasi untuk menggunakan resource Google Cloud . Akun Cloud Identity dan Google Workspace adalah akun pengguna yang dikelola oleh organisasi Anda.

Siapkan salah satu strategi identitas gabungan berikut:
- Federasi menggunakan Cloud Identity atau Google Workspace: Menyinkronkan identitas eksternal dengan akun Cloud Identity atau Google Workspace yang sesuai sehingga pengguna dapat login ke layanan Google dengan kredensial eksternal mereka. Dengan metode ini, pengguna memerlukan dua akun: akun eksternal, dan akun Cloud Identity atau Google Workspace. Anda dapat terus menyinkronkan akun ini menggunakan alat seperti Google Cloud Directory Sync (GCDS).
- Workforce Identity Federation: Menggunakan penyedia identitas (IdP) eksternal untuk memproses login pengguna ke Google Cloud dan mengizinkan mereka mengakses resource dan produkGoogle Cloud . Dengan Penggabungan Identitas Tenaga Kerja, pengguna hanya memerlukan satu akun: akun eksternal mereka. Jenis identitas pengguna ini terkadang disebut sebagai identitas gabungan.

Untuk mempelajari lebih lanjut metode ini untuk menyiapkan identitas pengguna, lihat Ringkasan identitas pengguna.

Google Cloud menyediakan jenis layanan identitas berikut untuk workload:

Workload Identity Federation memungkinkan beban kerja Anda mengakses sebagian besar Google Cloud layanan menggunakan identitas yang disediakan oleh IdP. Workload yang menggunakan Workload Identity Federation dapat berjalan di Google Cloud, Google Kubernetes Engine (GKE), atau platform lainnya, seperti AWS, Azure, dan GitHub.
Google Cloud Akun layanan dapat bertindak sebagai identitas untuk workload. Alih-alih memberikan akses ke beban kerja secara langsung, Anda memberikan akses ke akun layanan, lalu membiarkan beban kerja menggunakan akun layanan sebagai identitasnya.
Workload Identity terkelola (Pratinjau) memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke beban kerja Compute Engine. Anda dapat menggunakan identitas beban kerja terkelola untuk mengautentikasi beban kerja ke beban kerja lain menggunakan mutual TLS (mTLS), tetapi tidak dapat digunakan untuk mengautentikasi ke API Google Cloud .

Metode yang dapat Anda gunakan bergantung pada lokasi workload Anda berjalan.

Jika menjalankan beban kerja di Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:

Workload Identity Federation for GKE: Memberikan akses IAM ke cluster GKE dan akun layanan Kubernetes. Tindakan ini memungkinkan beban kerja cluster mengakses sebagian besar layanan Google Cloud secara langsung, tanpa menggunakan peniruan identitas akun layanan IAM.
Akun layanan terpasang: Menambahkan akun layanan ke resource sehingga akun layanan bertindak sebagai identitas default resource. Setiap beban kerja yang dijalankan pada resource menggunakan identitas akun layanan saat mengakses layananGoogle Cloud .
Kredensial akun layanan berjangka pendek: Buat dan gunakan kredensial akun layanan berjangka pendek setiap kali resource Anda perlu mengakses layananGoogle Cloud . Jenis kredensial yang paling umum adalah token akses OAuth 2.0 dan token ID OpenID Connect (OIDC).

Jika menjalankan beban kerja di luar Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:

Workload Identity Federation: Gunakan kredensial dari penyedia identitas eksternal untuk menghasilkan kredensial berumur pendek, yang dapat digunakan beban kerja untuk meniru akun layanan sementara. Selanjutnya, beban kerja dapat mengakses resourceGoogle Cloud , menggunakan akun layanan sebagai identitasnya.
Kunci akun layanan: Menggunakan bagian pribadi dari pasangan kunci RSA publik/pribadi akun layanan untuk mengautentikasi sebagai akun layanan.

Penting: Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus mengautentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan atas operasi lainnya yang dijelaskan oleh Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.
Jika Anda memperoleh kunci akun layanan dari sumber eksternal, Anda harus memvalidasinya sebelum digunakan. Untuk informasi selengkapnya, lihat Persyaratan keamanan untuk kredensial yang bersumber secara eksternal.

Untuk mempelajari lebih lanjut metode penyiapan identitas beban kerja, lihat Ringkasan identitas beban kerja.