Mit verwalteten Arbeitslastidentitäten können Sie Ihre Compute Engine-Arbeitslasten an stark attestierte Identitäten binden. Google Cloud stellt X.509-Anmeldedaten zur Verfügung, die vom Certificate Authority Service ausgestellt werden und mit denen Sie Ihre Arbeitslasten über gegenseitige TLS-Authentifizierung (mTLS) zuverlässig mit anderen Arbeitslasten authentifizieren können.
Um diese Interoperabilität zu erreichen, basieren verwaltete Arbeitslastidentitäten auf dem Secure Production Identity Framework for Everyone (SPIFFE), das ein Framework und eine Reihe von Standards zur Identifizierung und Sicherung der Kommunikation zwischen Arbeitslasten definiert. In SPIFFE wird eine verwaltete Arbeitslastidentität im Format spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
dargestellt.
Verwaltete Arbeitslastidentitäten können zwar für die Authentifizierung bei anderen Arbeitslasten verwendet werden, nicht aber für die Authentifizierung bei Google Cloud APIs.
Ressourcenhierarchie
Verwaltete Arbeitslastidentitäten werden in einem Workload Identity-Pool definiert, der als Vertrauensgrenze für alle Identitäten im Pool dient. Der Workload Identity-Pool bildet die vertrauenswürdige Domainkomponente der SPIFFE-ID der verwalteten Arbeitslastidentität. Wir empfehlen, für jede logische Umgebung in Ihrer Organisation einen neuen Pool zu erstellen, z. B. für Entwicklung, Staging oder Produktion.
Innerhalb eines Workload Identity-Pools werden verwaltete Arbeitslastidentitäten in Verwaltungsgrenzen organisiert, die als Namespaces bezeichnet werden. Mit Namespaces können Sie zugehörige Arbeitslastidentitäten organisieren und Zugriff gewähren.
Sie müssen Ihrer Arbeitslast mithilfe einer Attestierungsrichtlinie erlauben, eine verwaltete Arbeitslastidentität zu verwenden, bevor der Arbeitslast Anmeldedaten für die verwaltete Arbeitslastidentität ausgestellt werden können. Mit den Richtlinien zur Attestierung von Arbeitslasten können Sie festlegen, für welche Arbeitslasten Anmeldedaten für eine verwaltete Arbeitslastidentität auf der Grundlage der überprüfbaren Attribute der Arbeitslast, wie z.B. Projekt-ID oder Ressourcenname, ausgestellt werden können. Mit einer Attestierungsrichtlinie für Arbeitslasten wird sichergestellt, dass nur vertrauenswürdige Arbeitslasten die verwaltete Identität verwenden können.
Sie können eine Arbeitslast autorisieren, eine verwaltete Arbeitslastidentität anhand des Dienstkontos zu verwenden, das an die Arbeitslast angehängt ist.
Nächste Schritte
Überzeugen Sie sich selbst
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten