Le identità dei carichi di lavoro gestite ti consentono di associare identità fortemente attestate ai tuoi carichi di lavoro Compute Engine e Google Kubernetes Engine (GKE). Google Cloud fornisce credenziali X.509 emesse dal Certificate Authority Service che possono essere utilizzate per autenticare in modo affidabile il tuo carico di lavoro con altri carichi di lavoro tramite l'autenticazione mutual TLS (mTLS).
Interoperabilità SPIFFE
Per ottenere questa interoperabilità, le identità dei carichi di lavoro gestiti si basano su Secure Production Identity Framework For Everyone (SPIFFE), che definisce un framework e un insieme di standard per identificare e proteggere le comunicazioni tra i carichi di lavoro. In SPIFFE, un'identità del carico di lavoro gestita viene rappresentata utilizzando i seguenti formati:
Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Gerarchia delle risorse
Questa sezione descrive le risorse di identità dei carichi di lavoro gestiti.
Pool di identità dei workload
Le identità dei carichi di lavoro gestite sono definite in un pool di identità dei carichi di lavoro, che funge da confine di attendibilità per tutte le identità all'interno del pool. Il pool di identità del workload costituisce il componente del dominio attendibile dell'identificatore SPIFFE dell'identità del workload gestito. Ti consigliamo di creare un nuovo pool per ogni ambiente logico della tua organizzazione, ad esempio sviluppo, staging o produzione.
Spazi dei nomi
All'interno di un pool di identità per i carichi di lavoro, le identità per i carichi di lavoro gestite sono organizzate in confini amministrativi chiamati spazi dei nomi. Gli spazi dei nomi ti aiutano a organizzare e concedere l'accesso alle identità di workload correlate.
Norme di attestazione
L'identità del carico di lavoro gestito per Compute Engine richiede la configurazione dei criteri di attestazione.
L'identità del workload gestita per GKE gestisce per te i criteri di attestazione.
I criteri di attestazione del carico di lavoro ti consentono di definire a quale carico di lavoro può essere emessa una credenziale per un'identità del carico di lavoro gestita in base agli attributi verificabili del carico di lavoro, come l'ID progetto o il nome della risorsa. Un criterio di attestazione del carico di lavoro garantisce che solo i carichi di lavoro attendibili possano utilizzare l'identità gestita.
Passaggi successivi
Configura l'autenticazione delle identità per i carichi di lavoro gestiti per Compute Engine.
Configura l'autenticazione delle identità per i carichi di lavoro gestite per GKE.
Scopri di più sull'utilizzo delle identità di carico di lavoro gestite con i carichi di lavoro Compute Engine.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente