联合工作负载的身份反射

您可以将 Certificate Authority Service 与工作负载身份池和身份反射结合使用，以联合第三方身份并获取证明此身份的证书。

身份反射是一种特殊的证书颁发模式，限制非特权证书请求者使用 SAN 与其凭据中的身份相对应来请求证书。例如，具有联合第三方身份令牌的 Anthos Service Mesh 工作负载可能能够请求具有与其网格身份对应的 SAN 的证书，但无法使用任何其他 SAN 请求证书。

后续步骤

• 了解如何使用 IAM 工作负载身份联合反映第三方身份。
• 详细了解 SPIFFE。