Les identités de charge de travail gérées vous permettent d'associer des identités fortement certifiées à vos charges de travail Google Kubernetes Engine (GKE) et Compute Engine.
Google Cloud provisionne les identifiants X.509 et les ancres de confiance émis par Certificate Authority Service. Les identifiants et les ancres de confiance peuvent être utilisés pour authentifier de manière fiable votre charge de travail avec d'autres charges de travail via l'authentification TLS mutuel (mTLS).
Les identités de charge de travail gérées pour GKE sont disponibles en version preview. Les identités de charge de travail gérées pour Compute Engine sont disponibles en version preview sur demande. Demandez l'accès à la version preview des identités de charge de travail gérées pour Compute Engine.
Interopérabilité SPIFFE
Pour permettre l'interopérabilité dans des environnements dynamiques et hétérogènes, les identités de charge de travail gérées sont basées sur Secure Production Identity Framework for Everyone (SPIFFE). SPIFFE définit un framework et un ensemble de normes permettant d'identifier, d'authentifier et de sécuriser les communications entre les charges de travail. Les charges de travail SPIFFE sont identifiées par un ID SPIFFE unique. Dans Google Cloud, un ID SPIFFE peut se présenter sous les formats suivants :
Charges de travail Compute Engine :
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCharges de travail GKE :
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Hiérarchie des ressources
Cette section décrit les ressources d'identité de charge de travail gérées.
Pools d'identités de charge de travail
Les identités de charge de travail gérées sont définies dans un pool d'identités de charge de travail, qui sert de limite de confiance pour toutes les identités du pool. Le pool d'identités de charge de travail constitue le composant de domaine de confiance de l'identifiant SPIFFE de l'identité de charge de travail gérée. Nous vous recommandons de créer un pool pour chaque environnement logique de votre organisation, comme le développement, la préproduction ou la production.
Espaces de noms
Dans un pool d'identités de charge de travail, les identités de charge de travail gérées sont organisées en limites administratives appelées espaces de noms. Les espaces de noms vous aident à organiser les identités de charge de travail associées et à leur accorder l'accès.
Règles d'attestation
L'identité de charge de travail gérée pour Compute Engine nécessite la configuration de règles d'attestation.
L'identité de charge de travail gérée pour GKE gère les règles d'attestation pour vous.
Les règles d'attestation de charge de travail vous permettent de définir la charge de travail qui peut recevoir un identifiant pour une identité de charge de travail gérée en fonction des attributs vérifiables de la charge de travail, tels que l'ID du projet ou le nom de la ressource. Une règle d'attestation de charge de travail garantit que seules les charges de travail approuvées peuvent utiliser l'identité gérée.
Étapes suivantes
Configurer l'authentification des identités de charge de travail gérées pour Compute Engine.
Configurer l'authentification des identités de charge de travail gérées pour GKE.
Découvrez comment utiliser des identités de charge de travail gérées avec les charges de travail Compute Engine.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Essai gratuit