如要使用 Google Cloud,使用者和工作負載需要可辨識的Google Cloud 身分。
本頁說明可用於設定使用者和工作負載身分的方法。
使用者身分
您可以透過下列幾種方式設定使用者身分,讓 Google Cloud可以辨識:
- 建立 Cloud Identity 或 Google Workspace 帳戶:使用者可透過 Cloud Identity 或 Google Workspace 帳戶進行驗證,並獲得使用資源的授權。 Google Cloud Google Cloud Cloud Identity 和 Google Workspace 帳戶是由貴機構管理的使用者帳戶。
設定下列其中一個聯合身分策略:
- 使用 Cloud Identity 或 Google Workspace 進行同盟:將外部身分與對應的 Cloud Identity 或 Google Workspace 帳戶同步處理,讓使用者能透過外部憑證登入 Google 服務。採用這種方法時,使用者需要兩個帳戶:外部帳戶,以及 Cloud Identity 或 Google Workspace 帳戶。您可以使用 Google Cloud Directory Sync (GCDS) 等工具,讓這些帳戶保持同步。
- 員工身分聯盟:使用外部識別資訊提供者 (IdP) 登入使用者 Google Cloud ,並允許他們存取Google Cloud 資源和產品。有了員工身分聯盟,使用者只需要一個帳戶,也就是外部帳戶。這類使用者身分有時也稱為「聯合身分」。
如要進一步瞭解這些設定使用者 ID 的方法,請參閱「使用者 ID 總覽」。
工作負載身分
Google Cloud 為工作負載提供下列類型的身分識別服務:
Workload Identity Federation 可讓工作負載使用 IdP 提供的身分,存取大部分 Google Cloud 服務。使用 Workload Identity Federation 的工作負載可在 Google Cloud、Google Kubernetes Engine (GKE) 或其他平台 (例如 AWS、Azure 和 GitHub) 上執行。
Google Cloud 服務帳戶可做為工作負載的身分。您不必直接授予工作負載存取權,而是授予服務帳戶存取權,然後讓工作負載使用該服務帳戶做為身分。
代管工作負載身分 (預先發布版) 可讓您將經過嚴格驗證的身分繫結至 Compute Engine 工作負載。您可以使用受管理的工作負載身分,透過雙向傳輸層安全標準 (mTLS) 向其他工作負載驗證工作負載,但無法用於向 Google Cloud API 驗證。
可用的方法取決於工作負載的執行位置。
如果您在 Google Cloud上執行工作負載,可以使用下列方法設定工作負載身分:
Workload Identity Federation for GKE:授予 GKE 叢集和 Kubernetes 服務帳戶 IAM 存取權。這樣一來,叢集的工作負載就能直接存取大部分的 Google Cloud 服務,不必使用 IAM 服務帳戶模擬。
附加服務帳戶:將服務帳戶附加至資源,讓服務帳戶做為資源的預設身分。在資源上執行的任何工作負載,存取Google Cloud 服務時都會使用服務帳戶的身分。
短期服務帳戶憑證:每當資源需要存取Google Cloud 服務時,請產生並使用短期服務帳戶憑證。最常見的憑證類型是 OAuth 2.0 存取權杖和 OpenID Connect (OIDC) ID 權杖。
如果您在 Google Cloud以外執行工作負載,可以使用下列方法設定工作負載身分:
- Workload Identity 聯盟:使用外部身分識別提供者的憑證產生短期憑證,工作負載可使用這些憑證暫時模擬服務帳戶。工作負載隨後就能以服務帳戶做為身分,存取Google Cloud 資源。
服務帳戶金鑰:使用服務帳戶公開/私密 RSA 金鑰組的私密部分,以服務帳戶身分進行驗證。
如要進一步瞭解這些設定工作負載身分的方法,請參閱「工作負載身分總覽」。