Com as identidades de cargas de trabalho gerenciadas, é possível vincular identidades fortemente atestadas às cargas de trabalho do Google Kubernetes Engine (GKE) e do Compute Engine.
OGoogle Cloud provisiona credenciais X.509 e âncoras de confiança emitidas pelo Certificate Authority Service. As credenciais e pontos de confiança podem ser usados para autenticar de maneira confiável sua carga de trabalho com outras cargas de trabalho por autenticação de TLS mútuo (mTLS).
As identidades de carga de trabalho gerenciadas para o GKE estão disponíveis em pré-lançamento. As identidades de carga de trabalho gerenciadas para o Compute Engine estão disponíveis em pré-lançamento, mediante solicitação. Solicitar acesso à prévia das identidades de carga de trabalho gerenciadas para o Compute Engine.
Interoperabilidade do SPIFFE
Para permitir a interoperabilidade em ambientes dinâmicos e heterogêneos, as identidades de cargas de trabalho gerenciadas são baseadas no Secure Production Identity Framework For Everyone (SPIFFE). O SPIFFE define um framework e um conjunto de padrões para identificar, autenticar e proteger as comunicações entre cargas de trabalho. As cargas de trabalho do SPIFFE são identificadas por um ID exclusivo do SPIFFE. Em Google Cloud, um ID SPIFFE tem os seguintes formatos:
Cargas de trabalho do Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCargas de trabalho do GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Hierarquia de recursos
Esta seção descreve os recursos gerenciados de identidade da carga de trabalho.
Pools de identidade da carga de trabalho
As identidades das cargas de trabalho gerenciadas são definidas em um pool de identidades de cargas de trabalho, que atua como um limite de confiança para todas as identidades no pool. O pool de identidade da carga de trabalho forma o componente de domínio de confiança do identificador SPIFFE da identidade da carga de trabalho gerenciada. Recomendamos a criação de um novo pool para cada ambiente lógico na sua organização, como desenvolvimento, preparo ou produção.
Namespaces
Em um pool de identidades de cargas de trabalho, as identidades de cargas de trabalho gerenciadas são organizadas em limites administrativos, chamados de namespaces. Eles ajudam a organizar e conceder acesso às identidades de carga de trabalho relacionadas.
Políticas de atestado
A identidade de carga de trabalho gerenciada para o Compute Engine exige que você configure políticas de atestado.
A identidade gerenciada da carga de trabalho para o GKE gerencia as políticas de atestado para você.
As políticas de atestado de carga de trabalho permitem definir qual carga de trabalho pode receber uma credencial para uma identidade de carga de trabalho gerenciada com base nos atributos verificáveis dela, como o ID do projeto ou o nome do recurso. Uma política de atestado de carga de trabalho garante que apenas cargas de trabalho confiáveis possam usar a identidade gerenciada.
A seguir
Configure a autenticação de identidade da carga de trabalho gerenciada para o Compute Engine.
Configure a autenticação de identidade da carga de trabalho gerenciada para o GKE.
Saiba mais sobre como usar identidades de cargas de trabalho gerenciadas com as cargas de trabalho do Compute Engine.
Faça um teste
Se você começou a usar o Google Cloudagora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Comece a usar gratuitamente