Le identità del carico di lavoro gestite ti consentono di associare identità fortemente attestate ai tuoi carichi di lavoro Compute Engine. Google Cloud esegue il provisioning delle credenziali X.509 emesse da Certificate Authority Service che possono essere utilizzate per autenticare in modo affidabile il tuo carico di lavoro con altri carichi di lavoro tramite l'autenticazione TLS mutuale (mTLS).
Per ottenere questa interoperabilità, le identità dei carichi di lavoro gestiti si basano su
Secure Production Identity Framework For Everyone
(SPIFFE),
che definisce un framework e un insieme di standard per identificare e proteggere
le comunicazioni tra i carichi di lavoro. In SPIFFE, un'identità per i carichi di lavoro gestita è rappresentata utilizzando il formatospiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID.
Sebbene le identità di workload gestite possano essere utilizzate per l'autenticazione ad altri workload, non possono essere utilizzate per l'autenticazione alle API Google Cloud.
Gerarchia delle risorse
Le identità dei carichi di lavoro gestite sono definite in un pool di identità di carico di lavoro, che funge da confine di attendibilità per tutte le identità all'interno del pool. Il pool di identità del workload costituisce il componente del dominio attendibile dell'identificatore SPIFFE dell'identità del workload gestito. Ti consigliamo di creare un nuovo pool per ogni ambiente logico della tua organizzazione, ad esempio sviluppo, staging o produzione.
All'interno di un pool di identità per i carichi di lavoro, le identità per i carichi di lavoro gestite sono organizzate in confini amministrativi chiamati namespaces. Gli spazi dei nomi ti consentono di organizzare e concedere l'accesso alle identità di workload correlate.
Devi consentire al tuo carico di lavoro di utilizzare un'identità di carico di lavoro gestita utilizzando un criterio di attestazione prima che possano essere emesse le credenziali per l'identità di carico di lavoro gestita. I criteri di attestazione del carico di lavoro ti consentono di definire a quale caricamento di lavoro può essere emessa una credenziale per un'identità di carico di lavoro gestita in base agli attributi verificabili del caricamento di lavoro, come l'ID progetto o il nome della risorsa. Un criterio di attestazione del carico di lavoro garantisce che solo i carichi di lavoro attendibili possano utilizzare l'identità gestita.
Puoi autorizzare un carico di lavoro a utilizzare un'identità per i carichi di lavoro gestita in base all'account di servizio collegato al carico di lavoro.
Passaggi successivi
Configura l'autenticazione delle identità per i carichi di lavoro gestite.
Scopri di più sull'utilizzo delle identità di carico di lavoro gestite con i carichi di lavoro Compute Engine.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente