Gestione dei provider e dei pool di identità per i carichi di lavoro

Questa pagina spiega come gestire i pool di identità per i carichi di lavoro esistenti e i relativi provider di identità.

Puoi gestire i pool e i provider utilizzando la console Google Cloud , Google Cloud CLI o l'API REST.

Prima di iniziare

Crea un pool di identità del workload. Per scoprire come fare, consulta una delle seguenti pagine:

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire i provider e i pool di identità del workload, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire i provider e i pool di identità per i carichi di lavoro. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per gestire i provider e i pool di identità del workload sono necessarie le seguenti autorizzazioni:

  • Per visualizzare i provider e i pool di identità del workload:
    • iam.googleapis.com/workloadIdentityPoolProviders.get
    • iam.googleapis.com/workloadIdentityPoolProviders.list
    • iam.googleapis.com/workloadIdentityPools.get
    • iam.googleapis.com/workloadIdentityPools.list
  • Per creare, aggiornare ed eliminare pool e fornitori:
    • iam.googleapis.com/workloadIdentityPoolProviders.create
    • iam.googleapis.com/workloadIdentityPoolProviders.delete
    • iam.googleapis.com/workloadIdentityPoolProviders.undelete
    • iam.googleapis.com/workloadIdentityPoolProviders.update
    • iam.googleapis.com/workloadIdentityPools.create
    • iam.googleapis.com/workloadIdentityPools.delete
    • iam.googleapis.com/workloadIdentityPools.undelete
    • iam.googleapis.com/workloadIdentityPools.update

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Gestisci i pool di identità del workload

Questa sezione mostra come gestire i pool di identità per i carichi di lavoro.

Creare pool

Per creare pool di identità del workload in un progetto:

Console

Nella console Google Cloud , vai alla pagina Pool di identità del workload.

Vai a Pool di identità del workload

gcloud

Esegui il comando gcloud iam workload-identity-pools create.

REST

Chiama il numero projects.locations.workloadIdentityPools.create().

Elenco pool

Per elencare tutti i pool di identità del workload in un progetto:

Console

Nella console Google Cloud , vai alla pagina Pool di identità del workload.

Vai a Pool di identità del workload

gcloud

Esegui il comando gcloud iam workload-identity-pools list.

REST

Chiama il numero projects.locations.workloadIdentityPools.list().

Recuperare un pool

Per visualizzare i dettagli di un pool di identità del workload specifico:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Individua il pool di identità del workload che vuoi visualizzare, quindi fai clic sull'icona Modifica. La console Google Cloud mostra i dettagli del pool di identità per i workload.

gcloud

Esegui il comando gcloud iam workload-identity-pools describe.

REST

Chiama il numero projects.locations.workloadIdentityPools.get().

Aggiorna un pool

Puoi attivare o disattivare un pool di identità per i carichi di lavoro. Puoi anche modificare il nome visualizzato o la descrizione.

Per aggiornare un pool di identità del workload esistente:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Individua il pool di identità del workload da modificare, quindi fai clic sull'icona Modifica.

    Per disattivare o attivare il pool di identità per i carichi di lavoro, fai clic sul pulsante di attivazione/disattivazione Stato, poi fai clic su Disattiva o Attiva.

    Per modificare il nome visualizzato, fai clic su Modifica accanto al nome visualizzato. Aggiorna il nome e fai clic su Salva.

    Per modificare la descrizione, utilizza la gcloud CLI o l'API REST.

gcloud

Esegui il comando gcloud iam workload-identity-pools update.

REST

Chiama il numero projects.locations.workloadIdentityPools.patch().

Eliminare un pool

Quando elimini un pool Workload Identity, vengono eliminati anche i relativi provider pool Workload Identity. Di conseguenza, le identità nel pool perdono l'accesso alle risorseGoogle Cloud .

Puoi annullare l'eliminazione di un pool fino a 30 giorni dopo l'eliminazione. Dopo 30 giorni, l'eliminazione è definitiva. Finché un pool non viene eliminato definitivamente, non puoi riutilizzarne il nome quando crei un nuovo pool di identità del workload.

Per eliminare un pool di identità del workload e i relativi provider di identità:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Trova il pool di identità del workload che vuoi eliminare, quindi fai clic sull'icona Modifica.

  3. Fai clic su Elimina pool, quindi su Elimina. Il pool di identità del workload e i relativi provider di identità vengono eliminati.

gcloud

Esegui il comando gcloud iam workload-identity-pools delete.

REST

Chiama il numero projects.locations.workloadIdentityPools.delete().

Annullare l'eliminazione di un pool

Puoi recuperare un pool di identità del workload eliminato fino a 30 giorni dopo l'eliminazione.

Per ripristinare un pool:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Fai clic sul pulsante di attivazione/disattivazione Mostra i pool e i provider eliminati.

  3. Trova il pool di identità del workload che vuoi annullare l'eliminazione, quindi fai clic sull'icona Ripristina.

  4. Fai clic su Ripristina. Il pool e i relativi provider vengono ripristinati.

gcloud

Esegui il comando gcloud iam workload-identity-pools undelete.

REST

Chiama il numero projects.locations.workloadIdentityPools.undelete().

Gestire i provider di pool di identità del workload

Questa sezione mostra come gestire i provider di pool di identità per i carichi di lavoro.

Creare un fornitore

Per creare un fornitore del pool di identità del workload in un pool di identità del workload esistente, procedi nel seguente modo:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Trova il pool di identità del workload a cui vuoi aggiungere un provider, poi fai clic sull'icona Modifica.

  3. Fai clic su Aggiungi provider.

  4. Seleziona il tipo di fornitore da creare:

    • AWS: un provider di identità Amazon Web Services (AWS).
    • OpenID Connect (OIDC): un provider di identità compatibile con OIDC. Ciò include Microsoft Azure.
  5. Inserisci un nome per il fornitore.

    La Google Cloud console utilizza il nome per creare un ID fornitore. Per modificare l'ID fornitore, fai clic su Modifica. Non potrai modificare l'ID fornitore in un secondo momento.

  6. Completa i campi rimanenti per il tuo fornitore:

    • AWS: inserisci l'ID account AWS.
    • OIDC: inserisci l'URL dell'emittente. Per Azure, l'URL dell'emittente utilizza il formato https://sts.windows.net/AZURE_TENANT_ID. Per altri provider, consulta la documentazione del provider.

    Al termine, fai clic su Continua.

  7. Per configurare la mappatura degli attributi, fai clic su Modifica mappatura. La mappatura degli attributi consente di utilizzare le informazioni sulle identità esterne per concedere l'accesso a un sottoinsieme di queste identità.

  8. (Facoltativo) Per fornire una condizione dell'attributo, che specifica le identità che possono autenticarsi, fai clic su Aggiungi condizione e inserisci un'espressione Common Expression Language (CEL) valida. Per maggiori dettagli, vedi Condizioni degli attributi.

  9. Fai clic su Salva. Il fornitore del pool di identità del workload viene creato.

gcloud

Esegui il comando gcloud iam workload-identity-pools providers create-aws per creare un provider AWS.

Esegui il comando gcloud iam workload-identity-pools providers create-oidc per creare un provider OIDC. Ciò include Microsoft Azure.

REST

Chiama il numero projects.locations.workloadIdentityPools.providers.create().

Elenca provider

Per elencare i provider del pool di identità del workload in un progetto:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Per visualizzare i provider per un pool di identità del workload, fai clic sull'icona Espandi nodo per il pool.

gcloud

Esegui il comando gcloud iam workload-identity-pools providers list.

REST

Chiama il numero projects.locations.workloadIdentityPools.providers.list().

Ottenere un fornitore

Per ottenere i dettagli di un provider pool Workload Identity specifico:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Individua il pool di identità del workload che contiene il fornitore, quindi fai clic sull'icona Espandi nodo per il pool.

  3. Trova il fornitore del pool di identità del workload che vuoi visualizzare, quindi fai clic sull'icona Modifica. La consoleGoogle Cloud mostra informazioni dettagliate sul fornitore.

gcloud

Esegui il comando gcloud iam workload-identity-pools providers describe.

REST

Chiama il numero projects.locations.workloadIdentityPools.providers.get().

Aggiornare un fornitore

Puoi attivare o disattivare un provider di pool di identità del workload. Puoi anche aggiornare le informazioni dell'account e il mapping degli attributi, nonché il nome visualizzato e la descrizione.

Per aggiornare un provider di pool di identità del workload esistente:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Individua il pool di identità del workload che contiene il fornitore, quindi fai clic sull'icona Espandi nodo per il pool.

  3. Trova il fornitore del pool di identità del workload da modificare, quindi fai clic sull'icona Modifica.

  4. Modifica le informazioni del fornitore, quindi fai clic su Salva.

gcloud

Esegui il comando gcloud iam workload-identity-pools providers update-aws per aggiornare un provider AWS.

Esegui il comando gcloud iam workload-identity-pools providers update-oidc per aggiornare un provider OIDC. Ciò include Microsoft Azure.

REST

Chiama il numero projects.locations.workloadIdentityPools.providers.patch().

Eliminare un fornitore

Quando elimini un provider di pool di identità del workload, le identità del provider perdono l'accesso alle risorse Google Cloud .

Puoi annullare l'eliminazione di un fornitore fino a 30 giorni dopo l'eliminazione. Dopo 30 giorni, l'eliminazione è definitiva. Finché un fornitore non viene eliminato definitivamente, non puoi riutilizzarne il nome quando crei un nuovo fornitore.

Per eliminare un fornitore del pool di identità del workload:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Trova il pool di identità del workload che contiene il fornitore, quindi fai clic sull'icona Modifica.

  3. Nel riquadro Fornitori, individua il fornitore che vuoi eliminare, quindi fai clic sull'icona Elimina.

  4. Fai clic su Elimina per eliminare il fornitore.

gcloud

Esegui il comando gcloud iam workload-identity-pools providers delete.

REST

Chiama il numero projects.locations.workloadIdentityPools.providers.delete().

Recuperare un fornitore

Puoi recuperare un provider di pool di identità del workload eliminato fino a 30 giorni dopo l'eliminazione. Per ripristinare un fornitore:

Console

  1. Nella console Google Cloud , vai alla pagina Pool di identità del workload.

    Vai a Pool di identità del workload

  2. Fai clic sul pulsante di attivazione/disattivazione Mostra i pool e i provider eliminati.

  3. Individua il pool di identità del workload che contiene il fornitore, quindi fai clic sull'icona Espandi nodo per il pool.

  4. Trova il fornitore che vuoi recuperare, quindi fai clic sull'icona Ripristina.

  5. Fai clic su Ripristina. Il fornitore viene ripristinato.

gcloud

Esegui il comando gcloud iam workload-identity-pools providers undelete.

REST

Chiama il numero projects.locations.workloadIdentityPools.providers.undelete().

Gestire i vincoli per la federazione delle identità per i carichi di lavoro

Puoi utilizzare i vincoli dei criteri dell'organizzazione per limitare l'utilizzo delle risorse nella tua organizzazione Google Cloud .

Questa sezione descrive i vincoli consigliati quando utilizzi la federazione delle identità per i carichi di lavoro.

Limitare la configurazione del provider di identità

In qualità di amministratore dell'organizzazione, puoi decidere con quali provider di identità la tua organizzazione può eseguire la federazione.

Per gestire i provider di identità consentiti, attiva il vincolo constraints/iam.workloadIdentityPoolProviders nell'ambito dei criteri dell'organizzazione. Questo vincolo specifica gli URI dei provider consentiti. Puoi utilizzare la Google Cloud console o Google Cloud CLI per abilitare questo vincolo.

Per consentire la federazione solo da AWS, crea un singolo vincolo con l'URI https://sts.amazonaws.com. Il seguente esempio mostra come creare questo vincolo utilizzando gcloud CLI:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.amazonaws.com --organization=ORGANIZATION_NUMBER

Puoi anche specificare gli ID account AWS che hanno accesso alle tue risorseGoogle Cloud . Per specificare gli ID account, utilizza il vincolo di elenco constraints/iam.workloadIdentityPoolAwsAccounts:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolAwsAccounts \
    ACCOUNT_ID --organization=ORGANIZATION_NUMBER

Per consentire la federazione da un solo provider OIDC, crea un singolo vincolo con il issuer_uri del provider consentito. Ad esempio, quanto segue consente solo la federazione da un tenant Azure specifico:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.windows.net/AZURE_TENANT_ID --organization=ORGANIZATION_NUMBER

La federazione da un provider di identità SAML è un caso speciale perché le chiavi pubbliche utilizzate per convalidare l'asserzione vengono fornite al momento della configurazione anziché recuperate direttamente dal provider di identità. È quindi plausibile che un utente malintenzionato possa tentare di caricare un documento di metadati SAML con l'ID entità del provider di identità della tua organizzazione, ma una chiave pubblica per la quale ha accesso alla chiave privata. La limitazione della federazione in base all'ID entità in questo scenario offre solo un'illusione di sicurezza. Per questo motivo, ti consigliamo vivamente di consentire la creazione di un pool di identità del workload che consenta la federazione SAML solo in un progetto Google Cloud gestito centralmente dalla tua organizzazione. Puoi quindi concedere alle identità esterne in quel pool Workload Identity l'accesso alle risorse della tua organizzazione.

Per consentire la federazione dai provider di identità SAML, crea un vincolo che consenta la parola chiave speciale KEY_UPLOAD.

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     KEY_UPLOAD --organization=ORGANIZATION_NUMBER

Puoi ripetere questi comandi per consentire la federazione da altri provider.

Per bloccare la federazione da tutti i provider:

  1. Crea un file YAML contenente quanto segue:

    constraint: constraints/iam.workloadIdentityPoolProviders
    listPolicy:
      allValues: DENY
  2. Passa il file al comando gcloud resource-manager org-policies set-policy:

    gcloud resource-manager org-policies set-policy FILE_NAME.yaml \
        --organization=ORGANIZATION_NUMBER

Limita la creazione di chiavi del account di servizio

La federazione delle identità per i carichi di lavoro consente di accedere alle risorse Google Cloud da Google Cloud senza utilizzare una chiave dell'account di servizio. Se non utilizzi mai le chiavi del account di servizio per l'autenticazione, puoi contribuire a ridurre il rischio disattivando la creazione di chiavi.

Per disattivare la creazione di chiavi del account di servizio, applica il vincolo booleano iam.disableServiceAccountKeyCreation nei criteri dell'organizzazione per la tua organizzazione. Puoi anche applicare il vincolo booleano iam.disableServiceAccountKeyUpload, che disattiva il caricamento delle chiavi pubbliche per i service account.

Puoi utilizzare la consoleGoogle Cloud o gcloud CLI per attivare questi vincoli. Ad esempio, i seguenti comandi gcloud CLI attivano entrambi i vincoli:

gcloud resource-manager org-policies enable-enforce \
    constraints/iam.disableServiceAccountKeyCreation \
    --organization=ORGANIZATION_NUMBER
gcloud resource-manager org-policies enable-enforce \
    constraints/iam.disableServiceAccountKeyUpload \
    --organization=ORGANIZATION_NUMBER

Monitorare la federazione delle identità per i workload

Puoi utilizzare le metriche di Cloud Monitoring per monitorare gli eventi di autenticazione per i pool e i provider di identità del carico di lavoro. Per un elenco delle metriche disponibili, consulta Metriche IAM.

Passaggi successivi

Scopri di più sulla federazione delle identità per i workload.