Les identités de charge de travail gérées vous permettent d'associer des identités fortement certifiées à vos charges de travail Compute Engine et Google Kubernetes Engine (GKE). Google Cloudprovisionne des identifiants X.509 émis par Certificate Authority Service et pouvant être utilisés pour authentifier de manière fiable votre charge de travail avec d'autres charges de travail via l'authentification TLS mutuel (mTLS).
Interopérabilité SPIFFE
Pour réaliser cette interopérabilité, les identités de charge de travail gérées sont basées surSecure Production Identity Framework for Everyone (SPIFFE), qui définit un framework et un ensemble de normes permettant d'identifier et de sécuriser les communications entre les charges de travail. Dans SPIFFE, une identité de charge de travail gérée est représentée à l'aide des formats suivants:
Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE :
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Hiérarchie des ressources
Cette section décrit les ressources d'identité de charge de travail gérées.
Pools d'identités de charge de travail
Les identités de charge de travail gérées sont définies dans un pool d'identités de charge de travail, qui sert de limite de confiance pour toutes les identités du pool. Le pool d'identités de charge de travail constitue le composant de domaine de confiance de l'identifiant SPIFFE de l'identité de charge de travail gérée. Nous vous recommandons de créer un pool pour chaque environnement logique de votre organisation, par exemple pour vos environnements de développement, de préproduction ou de production.
Espaces de noms
Dans un pool d'identités de charge de travail, les identités de charge de travail gérées sont organisées en limites administratives appelées espaces de noms. Les espaces de noms vous aident à organiser et à accorder l'accès aux identités de charge de travail associées.
Règles d'attestation
L'identité de charge de travail gérée pour Compute Engine nécessite que vous configuriez des règles d'attestation.
L'identité de charge de travail gérée pour GKE gère les règles d'attestation à votre place.
Les règles d'attestation de charge de travail vous permettent de définir la charge de travail qui peut recevoir un identifiant pour une identité de charge de travail gérée en fonction des attributs vérifiables de la charge de travail, tels que l'ID du projet ou le nom de la ressource. Une règle d'attestation de charge de travail garantit que seules les charges de travail approuvées peuvent utiliser l'identité gérée.
Étape suivante
Configurez l'authentification des identités de charge de travail gérées pour Compute Engine.
Configurez l'authentification des identités de charge de travail gérées pour GKE.
Découvrez comment utiliser des identités de charge de travail gérées avec des charges de travail Compute Engine.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Essai gratuit