Configure a autenticação de identidade da carga de trabalho gerida para o Compute Engine

Para informações sobre o acesso a identidades de cargas de trabalho geridas para o Compute Engine, consulte a página de solicitação de acesso.

Esta página explica como configurar as identidades de cargas de trabalho geridas para o Compute Engine através da CLI gcloud.

Esta página também descreve como configurar o aprovisionamento automático e a gestão do ciclo de vida das identidades de carga de trabalho geridas para o Compute Engine. Configura pools de autoridades de certificação (ACs) para emitir certificados através do Certificate Authority Service. O serviço de AC é um Google Cloud serviço altamente disponível e escalável que simplifica e automatiza a implementação, a gestão e a segurança dos serviços de AC. Pode criar instâncias de máquinas virtuais (VMs) aprovisionadas com credenciais X.509 do conjunto de AC configurado. Em seguida, pode usar estas credenciais para estabelecer ligações mTLS entre cargas de trabalho.

Antes de começar

  1. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  2. Peça acesso às identidades de cargas de trabalho geridas para a pré-visualização do Compute Engine.

  3. Compreenda as identidades de carga de trabalho geridas.

  4. Saiba mais sobre a emissão de certificados através do serviço de autoridade de certificação.

  5. Saiba como autenticar cargas de trabalho do Compute Engine através de identidades de cargas de trabalho geridas.

  6. Enable the IAM and Certificate Authority Service APIs: 

    gcloud services enable iam.googleapis.com privateca.googleapis.com

  7. Configure a CLI do Google Cloud para usar o projeto que foi adicionado à lista de autorizações para faturação e quota.

    gcloud config set billing/quota_project PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto que foi adicionado à lista de autorizações para a pré-visualização da identidade da carga de trabalho gerida.

Funções necessárias

Para receber as autorizações de que precisa para criar identidades de carga de trabalho geridas e aprovisionar certificados de identidade de carga de trabalho geridos, peça ao seu administrador para lhe conceder as seguintes funções da IAM no projeto:

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Em alternativa, a função básica de proprietário do IAM (roles/owner) também inclui autorizações para configurar identidades de cargas de trabalho geridas. Não deve conceder funções básicas num ambiente de produção, mas pode concedê-las num ambiente de desenvolvimento ou teste.

Vista geral

Para usar identidades de carga de trabalho geridas para as suas aplicações, tem de realizar as seguintes tarefas:

  1. Administrador de segurança:

  2. Administrador de computação:

    Ative identidades de cargas de trabalho geridas para cargas de trabalho em execução no Compute Engine:

Crie identidades de cargas de trabalho geridas

As identidades de carga de trabalho geridas permitem Google Cloud aprovisionar automaticamente credenciais para identidades do Workload Identity Pool nas suas cargas de trabalho. As identidades de carga de trabalho são definidas num Workload Identity Pool e estão organizadas em limites administrativos denominados namespaces.

Crie um Workload Identity Pool

Tem de criar um conjunto no modo TRUST_DOMAIN para criar identidades de cargas de trabalho geridas. Para criar um Workload Identity Pool para identidades de cargas de trabalho geridas, use o comando workload-identity-pools create.

gcloud iam workload-identity-pools create POOL_ID \
    --location="global" \
    --mode="TRUST_DOMAIN"

Substitua o seguinte:

  • POOL_ID: o ID exclusivo do conjunto. O ID tem de ter entre 4 e 32 carateres e só pode conter carateres alfanuméricos em minúsculas e traços, bem como começar e terminar com um caráter alfanumérico. Depois de criar um Workload Identity Pool, não pode alterar o respetivo ID.

Para verificar se o pool de identidades de carga de trabalho foi criado no modo TRUST_DOMAIN, use o comando workload-identity-pools describe.

gcloud iam workload-identity-pools describe POOL_ID \
    --location="global"

O resultado do comando deve ser semelhante ao seguinte:

mode: TRUST_DOMAIN
name: projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID
state: ACTIVE

Se mode: TRUST_DOMAIN não estiver presente no resultado do comando, verifique se o seu projeto foi adicionado à lista de autorizações para a identidade da carga de trabalho gerida de pré-visualização e se configurou corretamente a CLI gcloud para usar o projeto correto para faturação e quota. Pode ter de atualizar para uma versão mais recente da CLI gcloud.

Crie um espaço de nomes

O comando workload-identity-pools namespaces create permite-lhe criar um espaço de nomes num Workload Identity Pool.

gcloud iam workload-identity-pools namespaces create NAMESPACE_ID \
    --workload-identity-pool="POOL_ID" \
    --location="global"

Substitua o seguinte:

  • NAMESPACE_ID: o ID exclusivo do espaço de nomes. O ID tem de ter entre 2 e 63 carateres, conter apenas carateres alfanuméricos em minúsculas e traços, e começar e terminar com um caráter alfanumérico. Depois de criar um espaço de nomes, não pode alterar o respetivo ID.
  • POOL_ID: o ID do Workload Identity Pool que criou anteriormente.

Crie uma identidade de carga de trabalho gerida

O comando workload-identity-pools managed-identities create permite-lhe criar uma identidade de carga de trabalho gerida num espaço de nomes do Workload Identity Pool.

gcloud iam workload-identity-pools managed-identities create MANAGED_IDENTITY_ID \
    --namespace="NAMESPACE_ID" \
    --workload-identity-pool="POOL_ID" \
    --location="global"

Substitua o seguinte:

  • MANAGED_IDENTITY_ID: o ID exclusivo da identidade gerida. O ID tem de ter entre 2 e 63 carateres, conter apenas carateres alfanuméricos em minúsculas e traços, e começar e terminar com um caráter alfanumérico. Depois de criar uma identidade de carga de trabalho gerida, não pode alterar o respetivo ID.
  • NAMESPACE_ID: o ID do espaço de nomes que criou anteriormente.
  • POOL_ID: o ID do Workload Identity Pool que criou anteriormente.

O ID da identidade de carga de trabalho gerida é o identificador SPIFFE, que tem o seguinte formato:

spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID

Defina uma política de atestação de carga de trabalho

Esta secção descreve como configurar uma política de atestação. Esta política determina os atributos usados pelo Google Cloud IAM para validar a identidade da carga de trabalho. Após a validação, a carga de trabalho de chamadas pode receber uma credencial. A validação baseia-se num dos seguintes atributos da carga de trabalho:

  • ID da instância de VM
  • Endereço de email da conta de serviço associada
  • UID da conta de serviço anexada

Defina uma política de atestação de carga de trabalho com regras de atestação

Para criar uma política de atestação que permita à sua carga de trabalho usar a identidade gerida, faça o seguinte:

  1. Decida se quer criar uma política de atestação que permita à sua carga de trabalho atestar a identidade gerida através da respetiva conta de serviço anexada ou através do respetivo ID da instância.

  2. Crie um ficheiro de política de atestação formatado em JSON.

    1. (Opcional) Para receber credenciais X.509 na sua instância do Compute Engine, tem de ativar uma conta de serviço associada. Recomendamos que anexe uma nova conta de serviço à sua carga de trabalho criando-a primeiro com o seguinte comando:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Substitua SERVICE_ACCOUNT_NAME pelo nome da conta de serviço

    2. Crie um ficheiro de política de atestação formatado em JSON que ateste com base no endereço de email da conta de serviço, no UID da conta de serviço ou no ID da instância.

      Endereço de email da conta de serviço

      Para criar um ficheiro de política de atestação que ateste com base no endereço de email da conta de serviço, crie um ficheiro com o seguinte conteúdo:

      {
   "attestationRules": [
      {
         "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.email/SERVICE_ACCOUNT_EMAIL"
      }
   ],
}

      Substitua o seguinte:

      • WORKLOAD_PROJECT_NUMBER: o número do projeto que contém a instância de VM ou a conta de serviço

      Para obter o número do projeto que contém a identidade gerida ou a conta de serviço que acabou de criar, execute o seguinte comando:

         gcloud projects describe $(gcloud config get-value project) \
      --format="value(projectNumber)"
      • SERVICE_ACCOUNT_EMAIL: o endereço de email da conta de serviço anexada à VM

      UID da conta de serviço

      Para criar um ficheiro de política de atestação que ateste com base no UID da conta de serviço, crie um ficheiro com o seguinte conteúdo:

      {
   "attestationRules": [
      {
         "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID"
      }
   ],
}

      Substitua o seguinte:

      • WORKLOAD_PROJECT_NUMBER: o número do projeto que contém a instância de VM ou a conta de serviço

      Para obter o número do projeto que contém a identidade gerida ou a conta de serviço que acabou de criar, execute o seguinte comando:

         gcloud projects describe $(gcloud config get-value project) \
      --format="value(projectNumber)"
      • SERVICE_ACCOUNT_UID: o UID da conta de serviço anexada à VM

      ID da instância

      Para criar um ficheiro de política de atestação que ateste com base no ID da instância, crie um ficheiro com o seguinte conteúdo:

      {
   "attestationRules": [
      {
         "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/uid/zones/ZONE/instances/INSTANCE_ID"
      }
   ],
}

      Substitua o seguinte:

      • WORKLOAD_PROJECT_NUMBER: o número do projeto que contém a instância de VM ou a conta de serviço

      Para obter o número do projeto que contém a identidade gerida ou a conta de serviço que acabou de criar, execute o seguinte comando:

         gcloud projects describe $(gcloud config get-value project) \
      --format="value(projectNumber)"
      • INSTANCE_ID: o ID da instância de VM do Compute Engine

      O valor de um ID de instância tem de ser proveniente de uma instância do Compute Engine existente. Para obter o ID da instância, execute o seguinte comando:

      gcloud compute instances describe INSTANCE_NAME --zone=ZONE --format="get(id)"
      • INSTANCE_NAME: o nome da instância de VM do Compute Engine
      • ZONE: a zona de VM do Compute Engine

  3. Crie a política de atestação através do ficheiro JSON de políticas que criou anteriormente neste documento:

    gcloud iam workload-identity-pools managed-identities set-attestation-rules MANAGED_IDENTITY_ID \
   --namespace=NAMESPACE_ID \
   --workload-identity-pool=POOL_ID \
   --policy-file=PATH_TO_POLICY_JSON_FILE \
   --location=global

    Substitua o seguinte:

    • MANAGED_IDENTITY_ID: o ID exclusivo da identidade gerida. O ID tem de ter entre 2 e 63 carateres, conter apenas carateres alfanuméricos em minúsculas e traços, e começar e terminar com um caráter alfanumérico. Depois de criar uma identidade de carga de trabalho gerida, não pode alterar o respetivo ID.
    • NAMESPACE_ID: o ID do espaço de nomes que criou anteriormente.
    • POOL_ID: o ID do Workload Identity Pool que criou anteriormente.
    • PATH_TO_POLICY_JSON_FILE: caminho para o ficheiro JSON que representa a política de atestação que criou anteriormente.

    Também pode atualizar a política adicionando ou removendo regras de atestação individualmente. Para adicionar uma atestação à sua política de atestação, execute o comando seguinte:

    gcloud iam workload-identity-pools managed-identities add-attestation-rule MANAGED_IDENTITY_ID \
   --namespace=NAMESPACE_ID \
   --workload-identity-pool=POOL_ID \
   --google-cloud-resource='//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID' \
   --location=global

  4. Para saber como listar ou remover as regras de atestação, execute os seguintes comandos:

    gcloud iam workload-identity-pools managed-identities list-attestation-rules --help
gcloud iam workload-identity-pools managed-identities remove-attestation-rule --help

Configure o Certificate Authority Service para emitir certificados para identidades de cargas de trabalho geridas

Crie a configuração recomendada para autoridades de certificação (ACs) de raiz e subordinadas através de pools do Certificate Authority Service. O conjunto de ACs subordinadas emite os certificados de identidade de carga de trabalho X.509 para VMs.

Depois de configurar os conjuntos de ACs, autoriza as identidades de carga de trabalho geridas a pedir e receber os certificados assinados dos conjuntos de ACs.

Configure o conjunto de ACs de raiz

Use a interface da CLI gcloud para o Certificate Authority Service para configurar um conjunto de ACs de raiz.

gcloud

Crie o grupo de ACs de raiz.

  1. Crie o conjunto de ACs de raiz no nível Enterprise, que se destina à emissão de certificados de longa duração e baixo volume através do comando gcloud privateca pools create.

    gcloud privateca pools create ROOT_CA_POOL_ID \
   --location=REGION \
   --tier=enterprise

    Substitua o seguinte:

    • ROOT_CA_POOL_ID: um ID exclusivo para o grupo de ACs de raiz. O ID pode ter até 64 carateres e tem de conter apenas carateres alfanuméricos em minúsculas e maiúsculas, sublinhados ou hífenes. O ID do conjunto tem de ser exclusivo na região.
    • REGION: a região onde o grupo de ACs de raiz está localizado.

    Para mais informações, consulte o artigo Criar conjuntos de ACs.

  2. Crie uma AC de raiz no conjunto de ACs de raiz com o comando gcloud privateca roots create. Pode ser-lhe pedido que ative a AC de raiz se esta for a única AC no conjunto de ACs de raiz.

    Por exemplo, pode usar um comando semelhante ao seguinte para criar uma AC raiz.

    gcloud privateca roots create ROOT_CA_ID \
   --pool=ROOT_CA_POOL_ID \
   --subject "CN=ROOT_CA_CN, O=ROOT_CA_ORGANIZATION" \
   --key-algorithm="ec-p256-sha256" \
   --max-chain-length=1 \
   --location=REGION

    Substitua o seguinte:

    • ROOT_CA_ID: um nome exclusivo para a AC raiz. O nome da AC pode ter até 64 carateres e tem de conter apenas carateres alfanuméricos em minúsculas e maiúsculas, sublinhados ou hífenes. O nome da AC tem de ser exclusivo na região.
    • ROOT_CA_POOL_ID: o ID do grupo de ACs de raiz.
    • ROOT_CA_CN: o nome comum da CA raiz.
    • ROOT_CA_ORGANIZATION: a organização da AC de raiz.
    • REGION: a região onde o grupo de ACs de raiz está localizado.

    Para mais informações, consulte o artigo Crie uma autoridade de certificação raiz. Para mais informações sobre os campos subject para a AC, consulte o assunto.

  3. Opcional: repita os passos anteriores para criar uma CA de raiz adicional no conjunto de CAs de raiz. Isto pode ser útil para a rotação da AC raiz.

Configure as ACs subordinadas

Use a interface da CLI gcloud para o Certificate Authority Service para criar um conjunto de ACs subordinadas e uma AC subordinada.

Se tiver vários cenários de emissão de certificados, pode criar uma AC subordinada para cada um desses cenários. Além disso, adicionar várias ACs subordinadas num conjunto de ACs ajuda a alcançar um melhor equilíbrio de carga dos pedidos de certificados.

gcloud

Use o comando gcloud privateca pools create para criar um conjunto de ACs subordinado.

  1. Crie o conjunto de ACs subordinadas no nível DevOps, que se destina à emissão de certificados de curta duração e em grande volume .

    gcloud privateca pools create SUBORDINATE_CA_POOL_ID \
   --location=REGION \
   --tier=devops

    Substitua o seguinte:

    • SUBORDINATE_CA_POOL_ID: um ID exclusivo para o conjunto de ACs subordinado. O ID pode ter até 64 carateres e tem de conter apenas carateres alfanuméricos em minúsculas e maiúsculas, sublinhados ou hífenes. O ID do conjunto tem de ser exclusivo na região.
    • REGION: a região na qual criar o conjunto de CA subordinado.

    Para mais informações, consulte o artigo Criar conjuntos de ACs.

  2. Crie uma CA subordinada no conjunto de CAs subordinadas com o comando gcloud privateca subordinates create. Não altere o modo de emissão baseado na configuração predefinido.

    Por exemplo, pode usar um comando semelhante ao seguinte para criar uma AC subordinada.

    gcloud privateca subordinates create SUBORDINATE_CA_ID \
   --pool=SUBORDINATE_CA_POOL_ID \
   --location=REGION \
   --issuer-pool=ROOT_CA_POOL_ID \
   --issuer-location=REGION \
   --subject="CN=SUBORDINATE_CA_CN, O=SUBORDINATE_CA_ORGANIZATION" \
   --key-algorithm="ec-p256-sha256" \
   --use-preset-profile=subordinate_mtls_pathlen_0

    Substitua o seguinte:

    • SUBORDINATE_CA_ID: um nome exclusivo para a CA subordinada. O nome pode ter até 64 carateres e só pode conter carateres alfanuméricos em minúsculas e maiúsculas, sublinhados ou hífens. O nome do conjunto tem de ser exclusivo na região.
    • SUBORDINATE_CA_POOL_ID: o nome do conjunto de CAs subordinadas.
    • REGION: a região onde se encontra o grupo de CA subordinado.
    • ROOT_CA_POOL_ID: o ID do grupo de ACs de raiz.
    • REGION: a região do grupo de ACs de raiz.
    • SUBORDINATE_CA_CN: o nome comum da CA subordinada.
    • SUBORDINATE_CA_ORGANIZATION: o nome da organização de emissão da AC subordinada.

    Para mais informações, consulte o artigo Criar conjuntos de ACs. Para mais informações sobre os campos subject para a AC, consulte o assunto.

Autorize identidades de cargas de trabalho geridas a pedir certificados ao conjunto da AC

As identidades de cargas de trabalho geridas requerem autorizações para pedir certificados ao serviço de AC e obter os certificados públicos.

gcloud

  1. Conceda a função de IAM CA Service Workload Certificate Requester (roles/privateca.workloadCertificateRequester) em cada conjunto de ACs subordinadas à identidade do workload gerido. O seguinte comando autoriza a identidade da carga de trabalho gerida a pedir certificados às cadeias de certificados do serviço de AC.gcloud privateca pools add-iam-policy-binding

    gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \
 --location=REGION \
 --role=roles/privateca.workloadCertificateRequester \
 --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"

    Substitua o seguinte:

    • SUBORDINATE_CA_POOL_ID: o ID do conjunto de ACs subordinado.
    • REGION: a região do grupo de ACs subordinado.
    • PROJECT_NUMBER: o número do projeto que contém o Workload Identity Pool.
    • POOL_ID: o ID do Workload Identity Pool.

  2. Conceda a função de IAM Leitor do conjunto de serviços de AC (roles/privateca.poolReader) nos conjuntos de AC subordinados à identidade de carga de trabalho gerida. Isto autoriza a identidade da carga de trabalho gerida a obter os certificados X.509 assinados das cadeias de certificados da AC.

    gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \
 --location=REGION \
 --role=roles/privateca.poolReader \
 --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"

    Substitua o seguinte:

    • SUBORDINATE_CA_POOL_ID: o ID do conjunto de ACs subordinado.
    • REGION: a região do grupo de ACs subordinado.
    • PROJECT_NUMBER: o número do projeto que contém o Workload Identity Pool.
    • POOL_ID: o ID do Workload Identity Pool.

Defina a configuração de confiança e emissão de certificados

Usa estas informações para criar um ficheiro JSON que é carregado como dados de parceiros quando cria uma MV.

Defina a configuração de emissão de certificados

A seguinte configuração de emissão de certificados é necessária para ativar as identidades da carga de trabalho geridas para o Compute Engine.

{
  "primary_certificate_authority_config": {
    "certificate_authority_config": {
      "ca_pool": "projects/SUBORDINATE_CA_POOL_PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID"
    }
  },
  "key_algorithm": "ALGORITHM",
  "workload_certificate_lifetime_seconds": DURATION,
  "rotation_window_percentage": ROTATION_WINDOW_PERCENTAGE
}

Substitua o seguinte:

  • SUBORDINATE_CA_POOL_PROJECT_ID: o ID do projeto que contém o conjunto de CA subordinado.
  • REGION: a região onde se encontra o conjunto de CA subordinado.
  • SUBORDINATE_CA_POOL_ID: o nome do conjunto de CAs subordinadas
  • ALGORITHM: o algoritmo de encriptação usado para gerar a chave privada. Os valores válidos são rsa-2048 (predefinição), rsa-3072, rsa-4096, ecdsa-p256 e ecdsa-p384.
  • DURATION: opcional: a duração da validade do certificado de entidade final, em segundos. O valor tem de estar compreendido entre 3600 e 315360000. Se não for especificado, é usado o valor predefinido de 86 400. A validade real do certificado emitido também depende da CA emissora, uma vez que pode restringir a duração do certificado emitido.
  • ROTATION_WINDOW_PERCENTAGE: Opcional: a percentagem do período de validade do certificado em que é acionada uma renovação. O valor tem de estar compreendido entre 50 e 80. O valor predefinido é 50 por cento. Tem de definir a percentagem do período de rotação em relação ao tempo de vida do certificado para que a renovação do certificado ocorra, pelo menos, 7 dias após a emissão do certificado e, pelo menos, 7 dias antes da respetiva expiração.

Defina a configuração de fidedignidade

A configuração de fidedignidade contém o conjunto de âncoras de fidedignidade para validar certificados de pares. Isto inclui o seguinte:

  • URIs de recursos do conjunto de ACs fidedignas: um conjunto de URIs de recursos do conjunto de ACs que são fidedignas para emitir certificados no mesmo domínio de confiança ao qual as VMs pertencem.
  • Certificados da AC no formato PEM: um conjunto de certificados da AC no formato PEM fidedignos para emitir certificados no mesmo domínio de confiança ao qual pertencem as VMs.
{
  "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": {
    "trust_anchors": [
      {
        "ca_pool": "projects/SUBORDINATE_CA_POOL_PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID"
      },
      {
        "pem_certificate": "PEM_ENCODED_CERTIFICATE"
      }
    ]
  }
}

Substitua o seguinte:

  • POOL_ID: o ID do Workload Identity Pool
  • PROJECT_NUMBER: o número do projeto que contém o Workload Identity Pool
  • SUBORDINATE_CA_POOL_PROJECT_ID: o ID do projeto que contém o conjunto de CA subordinado.
  • REGION: a região onde o grupo de ACs subordinado está localizado
  • SUBORDINATE_CA_POOL_ID: o ID do conjunto de CAs subordinadas

  • PEM_ENCODED_CERTIFICATE: opcional: um conjunto de certificados da AC adicionais no formato PEM fidedignos para emitir certificados no mesmo domínio de confiança ao qual as VMs pertencem. Estes certificados são adicionados à lista de pontos de confiança do conjunto de ACs subordinadas. Pode usar o seguinte comando para codificar um ficheiro trust-anchor.pem formatado em PEM numa string de uma linha:

    cat trust-anchor.pem | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g'

Crie um ficheiro de configuração para carregar os metadados do parceiro para uma VM

Crie um ficheiro JSON que contenha o seguinte:

Guarde este ficheiro como CONFIGS.json. Este ficheiro é usado quando cria VMs para executar aplicações que usam identidades de cargas de trabalho geridas.

O ficheiro CONFIGS.json deve ser semelhante ao seguinte:

  {
  "wc.compute.googleapis.com": {
     "entries": {
        "certificate-issuance-config": {
           "primary_certificate_authority_config": {
              "certificate_authority_config": {
                 "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID"
              }
           },
           "key_algorithm": "ALGORITHM"
        },
        "trust-config": {
           "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": {
               "trust_anchors": [{
                  "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID"
                }]
           }
     }
  }
  },
  "iam.googleapis.com": {
     "entries": {
        "workload-identity": "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID"
     }
  }
  }

O que se segue?

Experimente

Se for um novo utilizador do Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em cenários reais. Os novos clientes também recebem 300 USD em créditos gratuitos para executar, testar e implementar cargas de trabalho.

Comece gratuitamente