Activer la fédération d'identité de charge de travail sur AKS et EKS

Cet article explique comment activer Workload Identity pour les installations Apigee hybrid sur les plates-formes AKS et AKS.

Présentation

La fédération d'identité de charge de travail permet aux applications exécutées en dehors de Google Cloud d'emprunter l'identité d'un compte de service Google Cloud Platform en utilisant les identifiants d'un fournisseur d'identité externe.

La fédération d'identité de charge de travail peut vous aider à améliorer la sécurité en permettant aux applications d'utiliser les mécanismes d'authentification fournis par l'environnement externe et à remplacer les clés de compte de service.

Pour en savoir plus, consultez la page Bonnes pratiques d'utilisation de la fédération d'identité de charge de travail.

Configurer une fédération d'identité de charge de travail

Pour utiliser la fédération d'identité de charge de travail avec Apigee hybrid, commencez par configurer votre cluster, puis appliquez la fonctionnalité à votre installation Apigee hybrid.

Configurez votre cluster pour utiliser la fédération d'identité de charge de travail.

Suivez les instructions Google Cloud pour configurer la fédération d'identité de charge de travail pour Kubernetes, en tenant compte des modifications suivantes :

  1. À l'étape Configurer la fédération d'identité de charge de travail, l'audience par défaut des pools et fournisseurs Workload Identity créés est la suivante. Utilisez cette valeur par défaut ou définissez une audience attendue personnalisée, puis enregistrez cette valeur pour une utilisation ultérieure.
    https://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
  2. Vous n'avez pas besoin de suivre la procédure décrite sous Créer une paire de comptes de service, car les comptes de service dont vous avez besoin doivent déjà avoir été créés :
    • Comptes de service IAM : vous avez probablement déjà créé les comptes de service IAM (également appelés "comptes de service Google") lors de l'installation initiale d'Apigee hybrid avec l'outil create-service-account. Pour obtenir la liste des comptes de service IAM requis par Apigee hybrid, consultez la section À propos des comptes de service.

      Vous pouvez afficher la liste des comptes de service IAM de votre projet à l'aide de la commande suivante :

      gcloud iam service-accounts list --project PROJECT_ID
    • Comptes de service Kubernetes : les graphiques Apigee hybrid créent les comptes de service Kubernetes nécessaires pour chaque composant lorsque vous exécutez la commande helm install ou helm update.

      Vous pouvez afficher les comptes de service Kubernetes dans votre cluster à l'aide des commandes kubectl get sa :

      kubectl get sa -n APIGEE_NAMESPACE
      kubectl get sa -n apigee-system
  3. Arrêtez après l'étape 1 sous Déployer une charge de travail Kubernetes. Enregistrez le fichier de configuration des identifiants, puis enregistrez le chemin d'accès saisi pour le paramètre --credential-source-file, par exemple : /var/run/service-account/token.

Configurer Apigee hybrid pour utiliser la fédération d'identité de charge de travail