Identitas workload terkelola memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke workload Google Kubernetes Engine (GKE) dan Compute Engine.
Google Cloud menyediakan kredensial X.509 dan anchor kepercayaan yang diterbitkan dari Certificate Authority Service. Kredensial dan anchor kepercayaan dapat digunakan untuk mengautentikasi beban kerja Anda dengan beban kerja lain secara andal melalui autentikasi TLS (mTLS) bersama.
Identitas workload terkelola untuk GKE tersedia dalam Pratinjau. Identitas workload terkelola untuk Compute Engine tersedia dalam Pratinjau, sesuai permintaan. Meminta akses ke identitas workload terkelola untuk Pratinjau Compute Engine.
Interoperabilitas SPIFFE
Untuk mengaktifkan interoperabilitas di seluruh lingkungan dinamis dan heterogen, Workload Identity terkelola didasarkan pada Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE menentukan framework dan serangkaian standar untuk mengidentifikasi, mengautentikasi, dan mengamankan komunikasi antar-workload. Workload SPIFFE diidentifikasi oleh ID SPIFFE unik. Di Google Cloud, ID SPIFFE memiliki format berikut:
Workload Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDWorkload GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Hierarki resource
Bagian ini menjelaskan resource identitas workload terkelola.
Workload Identity pools
Identitas beban kerja terkelola ditentukan dalam workload identity pool, yang berfungsi sebagai batas kepercayaan untuk semua identitas dalam kumpulan. Kumpulan identitas beban kerja membentuk komponen domain kepercayaan dari ID SPIFFE identitas beban kerja terkelola. Sebaiknya buat kumpulan baru untuk setiap lingkungan logis di organisasi Anda, seperti pengembangan, staging, atau produksi.
Namespace
Dalam workload identity pool, identitas workload terkelola diatur ke dalam batas administratif yang disebut namespace. Namespace membantu Anda mengatur dan memberikan akses ke workload identity terkait.
Kebijakan pengesahan
Workload identity terkelola untuk Compute Engine mengharuskan Anda mengonfigurasi kebijakan pengesahan.
Identitas workload terkelola untuk GKE mengelola kebijakan pengesahan untuk Anda.
Kebijakan pengesahan workload memungkinkan Anda menentukan workload mana yang dapat diberi kredensial untuk identitas workload terkelola berdasarkan atribut workload yang dapat diverifikasi, seperti project ID atau nama resource. Kebijakan pengesahan workload memastikan bahwa hanya workload tepercaya yang dapat menggunakan identitas terkelola.
Langkah berikutnya
Mengonfigurasi autentikasi workload identity terkelola untuk Compute Engine.
Mengonfigurasi autentikasi identitas workload terkelola untuk GKE.
Pelajari lebih lanjut cara menggunakan identitas beban kerja terkelola dengan beban kerja Compute Engine.
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis