Dengan identitas beban kerja terkelola, Anda dapat mengikat identitas yang dibuktikan dengan kuat ke beban kerja Google Kubernetes Engine (GKE) dan Compute Engine.
Google Cloud menyediakan kredensial X.509 dan trust anchor yang dikeluarkan dari Certificate Authority Service. Kredensial dan anchor tepercaya dapat digunakan untuk mengautentikasi beban kerja Anda secara andal dengan beban kerja lain melalui autentikasi TLS timbal balik (mTLS).
Identitas workload terkelola untuk GKE tersedia dalam Pratinjau. Identitas beban kerja terkelola untuk Compute Engine tersedia dalam Pratinjau, berdasarkan permintaan. Minta akses ke identitas workload terkelola untuk Pratinjau Compute Engine.
Interoperabilitas SPIFFE
Untuk mengaktifkan interoperabilitas di seluruh lingkungan yang dinamis dan heterogen, identitas workload terkelola didasarkan pada Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE menentukan framework dan serangkaian standar untuk mengidentifikasi, mengautentikasi, dan mengamankan komunikasi antar-workload. Workload SPIFFE diidentifikasi oleh ID SPIFFE unik. Di Google Cloud, ID SPIFFE memiliki format berikut:
Workload Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDWorkload GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Hierarki resource
Bagian ini menjelaskan resource identitas workload terkelola.
Workload Identity pools
Managed workload identity ditentukan dalam workload identity pool, yang bertindak sebagai batas kepercayaan untuk semua identitas dalam pool. Workload identity pool membentuk komponen domain tepercaya dari ID SPIFFE identitas workload terkelola. Sebaiknya buat kumpulan baru untuk setiap lingkungan logis di organisasi Anda, seperti pengembangan, staging, atau produksi.
Namespace
Dalam workload identity pool, identitas workload terkelola diatur ke dalam batas administratif yang disebut namespace. Namespace membantu Anda mengatur dan memberikan akses ke workload identity terkait.
Kebijakan pengesahan
Workload identity terkelola untuk Compute Engine mengharuskan Anda mengonfigurasi kebijakan pengesahan.
Managed workload identity untuk GKE mengelola kebijakan pengesahan untuk Anda.
Kebijakan pengesahan workload memungkinkan Anda menentukan workload mana yang dapat dikeluarkan kredensial untuk managed workload identity berdasarkan atribut workload yang dapat diverifikasi, seperti ID project atau nama resource. Kebijakan pengesahan workload memastikan bahwa hanya workload tepercaya yang dapat menggunakan identitas terkelola.
Langkah berikutnya
Mengonfigurasi autentikasi managed workload identity untuk Compute Engine.
Mengonfigurasi autentikasi managed workload identity untuk GKE.
Pelajari lebih lanjut penggunaan identitas beban kerja terkelola dengan beban kerja Compute Engine.
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis