Workload Identity terkelola memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke workload Compute Engine dan Google Kubernetes Engine (GKE). Google Cloud menyediakan kredensial X.509 yang dikeluarkan dari Layanan Otoritas Sertifikasi yang dapat digunakan untuk mengautentikasi workload Anda dengan workload lain secara andal melalui autentikasi mutual TLS (mTLS).
Interoperabilitas SPIFFE
Untuk mencapai interoperabilitas ini, identitas workload terkelola didasarkan pada Secure Production Identity Framework For Everyone (SPIFFE), yang menentukan framework dan kumpulan standar untuk mengidentifikasi dan mengamankan komunikasi antar-workload. Di SPIFFE, identitas beban kerja terkelola diwakili menggunakan format berikut:
Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Hierarki resource
Bagian ini menjelaskan resource identitas workload terkelola.
Workload Identity pools
Identitas beban kerja terkelola ditentukan dalam workload identity pool, yang berfungsi sebagai batas kepercayaan untuk semua identitas dalam kumpulan. Identitas beban kerja membentuk komponen domain kepercayaan dari ID SPIFFE identitas beban kerja terkelola. Sebaiknya buat kumpulan baru untuk setiap lingkungan logis di organisasi Anda, seperti pengembangan, staging, atau produksi.
Namespace
Dalam workload identity pool, identitas workload terkelola diatur ke dalam batas administratif yang disebut namespace. Namespace membantu Anda mengatur dan memberikan akses ke workload identity terkait.
Kebijakan pengesahan
Workload identity terkelola untuk Compute Engine mengharuskan Anda mengonfigurasi kebijakan pengesahan.
Identitas workload terkelola untuk GKE mengelola kebijakan pengesahan untuk Anda.
Kebijakan pengesahan workload memungkinkan Anda menentukan workload mana yang dapat diberi kredensial untuk identitas workload terkelola berdasarkan atribut workload yang dapat diverifikasi, seperti project ID atau nama resource. Kebijakan pengesahan workload memastikan bahwa hanya workload tepercaya yang dapat menggunakan identitas terkelola.
Langkah berikutnya
Mengonfigurasi autentikasi workload identity terkelola untuk Compute Engine.
Mengonfigurasi autentikasi identitas workload terkelola untuk GKE.
Pelajari lebih lanjut cara menggunakan identitas beban kerja terkelola dengan beban kerja Compute Engine.
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis