Le identità dei workload gestite consentono di associare identità con attestazione rigorosa ai tuoi carichi di lavoro Google Kubernetes Engine (GKE) e Compute Engine.
Google Cloud fornisce credenziali X.509 e trust anchor emessi da Certificate Authority Service. Le credenziali e gli ancoraggi attendibili possono essere utilizzati per autenticare in modo affidabile il tuo workload con altri workload tramite l'autenticazione TLS reciproca (mTLS).
Le identità dei workload gestite per GKE sono disponibili in anteprima. Le identità dei carichi di lavoro gestite per Compute Engine sono disponibili in anteprima, su richiesta. Richiedi l'accesso all'anteprima delle identità dei workload gestite per Compute Engine.
Interoperabilità SPIFFE
Per consentire l'interoperabilità in ambienti dinamici ed eterogenei, le identità dei carichi di lavoro gestite si basano su Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE definisce un framework e un insieme di standard per identificare, autenticare e proteggere le comunicazioni tra i workload. I workload SPIFFE sono identificati da un ID SPIFFE univoco. In Google Cloud, un ID SPIFFE ha i seguenti formati:
Carichi di lavoro di Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCarichi di lavoro GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Gerarchia delle risorse
Questa sezione descrive le risorse di identità del workload gestita.
Pool di identità del workload
Le identità del workload gestite sono definite all'interno di un pool di identità del workload, che funge da limite di trust per tutte le identità all'interno del pool. Il pool di identità del workload forma il componente del dominio di attendibilità dell'identità del workload gestita. Ti consigliamo di creare un nuovo pool per ogni ambiente logico della tua organizzazione, ad esempio sviluppo, staging o produzione.
Spazi dei nomi
All'interno di un pool di identità del workload, le identità del workload gestite sono organizzate in limiti amministrativi chiamati spazi dei nomi. Gli spazi dei nomi ti aiutano a organizzare e concedere l'accesso alle identità dei workload correlate.
Policy di attestazione
L'identità del workload gestita per Compute Engine richiede la configurazione dei criteri di attestazione.
L'identità del workload gestita per GKE gestisce le norme di attestazione per te.
I criteri di attestazione del carico di lavoro consentono di definire a quale carico di lavoro può essere rilasciata una credenziale per un'identità del carico di lavoro gestita in base agli attributi verificabili del carico di lavoro, come l'ID progetto o il nome della risorsa. Un criterio di attestazione del workload garantisce che solo i workload attendibili possano utilizzare l'identità gestita.
Passaggi successivi
Configura l'autenticazione dell'identità del workload gestita per Compute Engine.
Configura l'autenticazione con identità del workload gestita per GKE.
Scopri di più sull'utilizzo delle identità dei workload gestite con i workload di Compute Engine.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente