Questa pagina spiega come configurare identità dei carichi di lavoro gestiti con gcloud CLI.
Questa pagina descrive anche come configurare il provisioning automatico e la gestione del ciclo di vita delle identità dei carichi di lavoro gestiti per Compute Engine. Tu configurare i pool di autorità di certificazione (CA) in modo che emettano certificati utilizzando Certificate Authority Service. CA Service è un servizio Google Cloud scalabile e ad alta disponibilità che semplifica e automatizza il deployment, la gestione e la sicurezza dei servizi CA. Puoi creare istanze di macchine virtuali (VM) per le quali è stato eseguito il provisioning con credenziali X.509 dal pool CA configurato. Queste credenziali possono essere utilizzate per stabilire connessioni mTLS tra i carichi di lavoro.
Prima di iniziare
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
Richiedi l'accesso all'anteprima delle identità dei carichi di lavoro gestiti.
Scopri di più sulle identità dei carichi di lavoro gestite.
Scopri di più sull'emissione dei certificati mediante Certificate Authority Service.
Scopri come autenticare i carichi di lavoro Compute Engine utilizzando delle identità per i carichi di lavoro.
Enable the IAM and Certificate Authority Service APIs:
gcloud services enable iam.googleapis.com
privateca.googleapis.com Configura Google Cloud CLI per utilizzare il progetto aggiunto alla lista consentita per la fatturazione e la quota.
gcloud config set billing/quota_project PROJECT_ID
Sostituisci PROJECT_ID con l'ID del progetto che è stato aggiunto alla lista consentita per l'anteprima di Workload Identity gestito.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare le identità dei carichi di lavoro gestiti ed eseguire il provisioning i certificati di Workload Identity chiedi all'amministratore di concederti seguenti ruoli IAM sul progetto:
-
Per creare e configurare le identità per i carichi di lavoro gestiti:
-
Amministratore pool Workload Identity IAM (
roles/iam.workloadIdentityPoolAdmin
) -
Amministratore account di servizio (
roles/iam.serviceAccountAdmin
)
-
Amministratore pool Workload Identity IAM (
-
Per creare e configurare i pool di CA:
Amministratore servizio CA (
roles/privateca.admin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.
In alternativa, il ruolo Proprietario IAM (roles/owner
) di base
che include anche le autorizzazioni per configurare le identità dei carichi di lavoro gestiti.
Non dovresti concedere ruoli di base in un ambiente di produzione, ma puoi farlo in un ambiente di sviluppo o di test.
Panoramica
Per utilizzare le identità di carico di lavoro gestite per le tue applicazioni, devi eseguire le seguenti attività:
Amministratore della sicurezza:
- Crea identità dei carichi di lavoro gestiti in un pool di identità per i carichi di lavoro.
- Definire il criterio di attestazione del carico di lavoro e creo un account di servizio.
- Configura il servizio Certificate Authority per emettere certificati per le identità per i carichi di lavoro gestiti.
- Autorizza le identità dei carichi di lavoro gestiti a richiedere i certificati dal pool di CA.
- Definisci la configurazione dell'attendibilità e dell'emissione dei certificati.
- Crea un file di configurazione per caricare i metadati del partner per una VM.
Amministratore computing:
Abilita le identità di carico di lavoro gestite per i carichi di lavoro in esecuzione in Compute Engine:
- Per le VM individuali.
- Per i gruppi di istanze gestite (MIG).
Crea identità dei carichi di lavoro gestiti
Le identità dei carichi di lavoro gestiti consentono a Google Cloud automaticamente le credenziali per le identità dei pool di identità per i carichi di lavoro per i carichi di lavoro. Le identità del carico di lavoro vengono definite all'interno di un pool di identità del carico di lavoro e sono organizzate in confini amministrativi chiamati spazi dei nomi.
Crea un pool di identità per i carichi di lavoro
Devi creare un pool in modalità TRUST_DOMAIN
per creare
delle identità per i carichi di lavoro. Per creare un pool di identità per i carichi di lavoro per le identità di carico di lavoro gestite, utilizza il comando workload-identity-pools create
.
gcloud iam workload-identity-pools create POOL_ID \ --location="global" \ --mode="TRUST_DOMAIN"
Sostituisci quanto segue:
POOL_ID
: l'ID univoco per il pool. L'ID deve essere tra 4 e 32 caratteri e può contenere solo caratteri alfanumerici minuscoli caratteri e trattini, nonché iniziare e finire con un carattere alfanumerico. Una volta creato un pool di identità del carico di lavoro, non puoi modificarne l'ID.
Per verificare che il pool di identità del tuo carico di lavoro sia stato creato in modalità TRUST_DOMAIN
, utilizza il comando workload-identity-pools describe
.
gcloud iam workload-identity-pools describe POOL_ID \ --location="global"
L'output del comando dovrebbe essere simile al seguente:
mode: TRUST_DOMAIN name: projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID state: ACTIVE
Se mode: TRUST_DOMAIN
non è presente nell'output del comando, verifica
che il progetto sia stato aggiunto alla lista consentita per la preview dell'identità del workload gestito e che tu abbia configurato correttamente la CLI gcloud in modo da utilizzare il progetto corretto per la fatturazione e la quota. Tu
potrebbe dover eseguire l'aggiornamento a una versione più recente di gcloud CLI.
Crea uno spazio dei nomi
Il comando workload-identity-pools namespaces create
consente di creare uno spazio dei nomi in un pool di identità di carico di lavoro.
gcloud iam workload-identity-pools namespaces create NAMESPACE_ID \ --workload-identity-pool="POOL_ID" \ --location="global"
Sostituisci quanto segue:
NAMESPACE_ID
: l'ID univoco dello spazio dei nomi. La L'ID deve essere compreso tra 2 e 63 caratteri e contenere solo caratteri alfanumerici minuscoli caratteri e trattini, nonché iniziare e finire con un carattere alfanumerico. Una volta creato uno spazio dei nomi, non puoi modificarne l'ID.POOL_ID
: l'ID del pool di identità per i carichi di lavoro creato in precedenza.
Creare un'identità per i carichi di lavoro gestita
Il comando workload-identity-pools managed-identities create
consente di creare un'identità Workload Identity gestita in un pool di identità per i carichi di lavoro.
gcloud iam workload-identity-pools managed-identities create MANAGED_IDENTITY_ID \ --namespace="NAMESPACE_ID" \ --workload-identity-pool="POOL_ID" \ --location="global"
Sostituisci quanto segue:
MANAGED_IDENTITY_ID
: l'ID univoco per l'identità gestita. L'ID deve essere compreso tra 2 e 63 caratteri e contenere solo lettere minuscole caratteri alfanumerici e trattini, nonché iniziare e finire con un carattere . Dopo aver creato un'identità del carico di lavoro gestito, non puoi modificare il relativo ID.NAMESPACE_ID
: l'ID dello spazio dei nomi che hai creato in precedenza.POOL_ID
: l'ID del pool di identità per i carichi di lavoro creato in precedenza.
L'ID identità del carico di lavoro gestito è l'identificatore SPIFFE, che è formato come segue:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
Definisci il criterio di attestazione del carico di lavoro
Un criterio di attestazione del carico di lavoro garantisce che solo i carichi di lavoro attendibili possano utilizzare l'identità gestita.
Quando il carico di lavoro viene eseguito e richiede una credenziale per il carico di lavoro gestito. Identity, Google Cloud IAM utilizza l'attributo che definisci criteri di attestazione da verificare l'istanza Compute Engine. La verifica si basa su uno dei seguenti attributi del carico di lavoro:
- ID istanza VM
- Indirizzo email dell'account di servizio allegato
Dopo la verifica, il carico di lavoro riceve una credenziale.
Esegui l'attestazione utilizzando l'ID istanza VM
Per creare un criterio di attestazione che utilizzi l'ID istanza VM come selezionatore a attributo singolo per l'identità gestita:
- Configura la gerarchia delle CA.
- Definisci la configurazione di attendibilità ed emissione dei certificati.
- Avvia il gruppo di istanze gestite o la singola VM. Puoi eseguire il deployment del gruppo di istanze gestite o della singola VM utilizzando un account di servizio definito esplicitamente o l'account di servizio predefinito di Compute Engine.
Esegui il comando seguente per estrarre l'ID istanza:
gcloud compute instances describe INSTANCE_NAME --zone=ZONE --format="get(id)"
Utilizza l'ID istanza restituito nel seguente comando:
gcloud iam workload-identity-pools managed-identities workload-sources create \ project-WORKLOAD_PROJECT_NUMBER \ --single-attribute-selectors="compute.googleapis.com/Instance.uid=projects/WORKLOAD_PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID" \ --managed-identity=MANAGED_IDENTITY_ID \ --namespace=NAMESPACE_ID \ --workload-identity-pool=POOL_ID \ --location="global"
Sostituisci quanto segue:
WORKLOAD_PROJECT_NUMBER
: il numero del progetto per contenente il carico di lavoro. Il criterio consente ai carichi di lavoro all'interno di questo project di utilizzare l'identità del carico di lavoro gestito.ZONE
: la zona in cui viene eseguito il deployment del carico di lavoro.INSTANCE_ID
: l'ID istanza del carico di lavoro.MANAGED_IDENTITY_ID
: l'ID univoco della campagna gestita e identità di base.NAMESPACE_ID
: l'ID spazio dei nomi creato in precedenza.POOL_ID
: l'ID del pool di identità per i carichi di lavoro creato in precedenza.
Attestazione utilizzando un account di servizio collegato
Per creare un criterio di attestazione che utilizzi il tuo account di servizio come selettore di attributi singoli per l'identità gestita, esegui il seguente comando:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
Sostituisci quanto segue:
SERVICE_ACCOUNT_NAME
: il nome del servizio account
Per creare un criterio di attestazione del carico di lavoro che consenta ai carichi di lavoro con account di servizio collegato per l'emissione delle credenziali per il carico di lavoro gestito di identità, esegui seguente comando:
gcloud iam workload-identity-pools managed-identities workload-sources create \ project-WORKLOAD_PROJECT_NUMBER \ --single-attribute-selectors="compute.googleapis.com/Instance.attached_service_account.email=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \ --managed-identity=MANAGED_IDENTITY_ID \ --namespace=NAMESPACE_ID \ --workload-identity-pool=POOL_ID \ --location="global"
Sostituisci quanto segue:
SERVICE_ACCOUNT_NAME
: il nome del servizio .WORKLOAD_PROJECT_NUMBER
: il numero del progetto che contiene il tuo carico di lavoro. Il criterio consente ai carichi di lavoro all'interno di questo project di utilizzare l'identità del carico di lavoro gestito.PROJECT_ID
: l'ID del progetto contenente la l'account di servizio.MANAGED_IDENTITY_ID
: l'ID univoco per l'identità gestita.NAMESPACE_ID
: l'ID dello spazio dei nomi che hai creato. in precedenza.POOL_ID
: l'ID del pool di identità per i carichi di lavoro creato in precedenza.
Per un determinato pool di identità per i carichi di lavoro, puoi definire un massimo di 50 selettori di singoli attributi per il progetto del carico di lavoro.
Per scoprire come aggiornare o eliminare un criterio di attestazione, esegui questo comando: :
gcloud iam workload-identity-pools managed-identities workload-sources --help
Configura Certificate Authority Service per emettere certificati per le identità dei carichi di lavoro gestiti
Crea la configurazione consigliata per le autorità di certificazione radice e subordinate (CA) utilizzando i pool di Certificate Authority Service. Il pool CA secondario emette i certificati X.509 di identità per i carichi di lavoro alle VM.
Dopo aver configurato i pool di CA, autorizzi il carico di lavoro gestito per richiedere e ricevere i certificati firmati dai pool di CA.
Configura il pool di CA radice
Utilizza l'interfaccia Google Cloud CLI per Certificate Authority Service per configurare un pool di CA radice.
gcloud
Crea il pool di CA radice.
Crea il pool di CA principale nel livello Enterprise, destinato a l'emissione di certificati a basso volume e di lunga durata utilizzando Comando
gcloud privateca pools create
.gcloud privateca pools create ROOT_CA_POOL_ID \ --location=REGION \ --tier=enterprise
Sostituisci quanto segue:
- ROOT_CA_POOL_ID: un ID univoco per il pool di CA radice. L'ID può avere una lunghezza massima di 64 caratteri e deve contenere solo caratteri alfanumerici minuscoli e maiuscoli, trattini bassi o trattini. L'ID pool deve essere univoco all'interno della regione.
- REGION: la regione in cui si trova il pool di CA radice individuarlo.
Per ulteriori informazioni, vedi Creazione di pool di CA.
Crea una CA radice nel pool di CA radice utilizzando il comando
gcloud privateca roots create
. Potrebbe esserti chiesto di attivare la CA radice se è l'unica CA nel pool di CA radice.Ad esempio, puoi utilizzare un comando simile al seguente per per creare una CA radice.
gcloud privateca roots create ROOT_CA_ID \ --pool=ROOT_CA_POOL_ID \ --subject "CN=ROOT_CA_CN, O=ROOT_CA_ORGANIZATION" \ --key-algorithm="ec-p256-sha256" \ --max-chain-length=1 \ --location=REGION
Sostituisci quanto segue:
- ROOT_CA_ID: un nome univoco per la CA radice. Il nome della CA può avere una lunghezza massima di 64 caratteri e deve contenere solo caratteri alfanumerici minuscoli e maiuscoli, trattini bassi o trattini. Il nome della CA deve essere univoco all'interno della regione.
- ROOT_CA_POOL_ID: l'ID del pool di CA radice.
- ROOT_CA_CN: il nome comune della CA radice.
- ROOT_CA_ORGANIZATION: l'organizzazione della CA radice.
- REGION: la regione in cui si trova il pool di CA radice individuarlo.
Per ulteriori informazioni, vedi Crea un'autorità di certificazione radice. Per ulteriori informazioni sui campi
subject
per la CA, consulta Oggetto.(Facoltativo) Ripeti i passaggi precedenti per creare una CA radice aggiuntiva in nel pool di CA radice. Questo può essere utile per rotazione CA radice.
Configura le CA subordinate
Utilizza l'interfaccia Google Cloud CLI per Certificate Authority Service per creare un pool di CA subordinate e una CA subordinata.
Se hai più scenari di emissione di certificati, puoi creare un'autorità di certificazione subordinata per ciascuno di questi scenari. Inoltre, l'aggiunta di più elementi Le CA in un pool di CA consentono di ottenere un miglior bilanciamento del carico del certificato richieste.
gcloud
Usa il comando gcloud privateca pools create
per creare un pool di CA subordinato.
Crea il pool di CA subordinate nel livello DevOps, pensato per l'emissione di certificati di breve durata e ad alto volume.
gcloud privateca pools create SUBORDINATE_CA_POOL_ID \ --location=REGION \ --tier=devops
Sostituisci quanto segue:
- SUBORDINATE_CA_POOL_ID: un ID univoco per il pool di CA secondario. L'ID può contenere fino a 64 caratteri e deve contenere solo caratteri alfanumerici maiuscoli e minuscoli, trattini bassi o trattini. L'ID pool deve essere univoco all'interno della regione.
- REGION: la regione in cui creare il pool di CA subordinato.
Per ulteriori informazioni, consulta la sezione Creare pool di CA.
Crea una CA subordinata nel pool di CA subordinato utilizzando Comando
gcloud privateca subordinates create
. Non modificare l'impostazione predefinita modalità di emissione basata sulla configurazione.Ad esempio, puoi utilizzare un comando simile al seguente per creare una CA secondaria.
gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_CA_POOL_ID \ --location=REGION \ --issuer-pool=ROOT_CA_POOL_ID \ --issuer-location=REGION \ --subject="CN=SUBORDINATE_CA_CN, O=SUBORDINATE_CA_ORGANIZATION" \ --key-algorithm="ec-p256-sha256" \ --use-preset-profile=subordinate_mtls_pathlen_0
Sostituisci quanto segue:
- SUBORDINATE_CA_ID: un nome univoco per la CA subordinata. Il nome può avere una lunghezza massima di 64 caratteri e deve contenere solo caratteri alfanumerici minuscoli e maiuscoli, trattini bassi o trattini. Il nome del pool deve essere univoco all'interno della regione.
- SUBORDINATE_CA_POOL_ID: il nome del pool di CA subordinate.
- REGION: la regione in cui il subordinato Si trova il pool di CA.
- ROOT_CA_POOL_ID: l'ID del pool di CA radice.
- REGION: la regione del pool di CA radice.
- SUBORDINATE_CA_CN: il nome comune della CA subordinata.
- SUBORDINATE_CA_ORGANIZATION: il nome del subordinato Organizzazione della CA emittente.
Per ulteriori informazioni, consulta la sezione Creare pool di CA. Per ulteriori informazioni sui campi
subject
per la CA, consulta Subject.
Autorizza le identità per i carichi di lavoro gestite a richiedere certificati dal pool CA
Le identità dei carichi di lavoro gestiti richiedono le autorizzazioni per richiedere i certificati dal servizio CA e ottieni i certificati pubblici.
gcloud
Concedi il ruolo IAM CA Service Workload Certificate Requester (
roles/privateca.workloadCertificateRequester
) all'identità del carico di lavoro gestito su ogni pool di CA secondario. Le seguenti Comandogcloud privateca pools add-iam-policy-binding
autorizza l'identità del carico di lavoro gestito a richiedere i certificati da le catene di certificati del servizio CA.gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \ --location=REGION \ --role=roles/privateca.workloadCertificateRequester \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"
Sostituisci quanto segue:
- SUBORDINATE_CA_POOL_ID: l'ID del subordinato Pool di CA.
- REGION: la regione del pool di CA subordinato.
- PROJECT_NUMBER: il numero del progetto che contiene il pool di identità per i carichi di lavoro.
- POOL_ID: l'ID del pool di identità per i carichi di lavoro.
Concedi Lettore pool di servizi CA (
roles/privateca.poolReader
) ruolo IAM sui pool di CA subordinati all'infrastruttura Workload Identity In questo modo, l'identità del carico di lavoro gestito viene autorizzata a recuperare i certificati X.509 firmati dalle catene di certificati della CA.gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \ --location=REGION \ --role=roles/privateca.poolReader \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"
Sostituisci quanto segue:
- SUBORDINATE_CA_POOL_ID: l'ID del subordinato Pool di CA.
- REGION: la regione del pool di CA subordinato.
- PROJECT_NUMBER: il numero del progetto che contiene il pool di identità per i carichi di lavoro.
- POOL_ID: l'ID del pool di identità per i carichi di lavoro.
Definisci la configurazione della attendibilità e dell'emissione dei certificati
Puoi utilizzare queste informazioni per creare un file JSON che viene caricato come partner durante la creazione di una VM.
Definisci la configurazione dell'emissione dei certificati
La seguente configurazione di emissione dei certificati è obbligatoria per abilitare le identità di carico di lavoro gestite per Compute Engine.
{ "primary_certificate_authority_config": { "certificate_authority_config": { "ca_pool": "projects/SUBORDINATE_CA_POOL_PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" } }, "key_algorithm": "ALGORITHM", "workload_certificate_lifetime_seconds": DURATION, "rotation_window_percentage": ROTATION_WINDOW_PERCENTAGE }
Sostituisci quanto segue:
- SUBORDINATE_CA_POOL_PROJECT_ID: l'ID del progetto che contiene il pool di CA subordinato.
- REGION: la regione in cui si trova il pool di CA subordinato.
- SUBORDINATE_CA_POOL_ID: il nome del pool di CA subordinato
- ALGORITHM: l'algoritmo di crittografia utilizzato per generare
chiave privata. I valori validi sono
rsa-2048
(predefinito),rsa-3072
,rsa-4096
,ecdsa-p256
eecdsa-p384
. - DURATION: facoltativo. La durata di validità del certificato finale in secondi. Il valore deve essere compreso tra 3600 e 315360000. Se non specificato, il parametro Viene utilizzato il valore predefinito 86.400. La validità effettiva del certificato rilasciato dipende anche dall'autorità di certificazione che lo ha emesso, in quanto potrebbe limitare la durata del certificato.
- ROTATION_WINDOW_PERCENTAGE: facoltativo. La percentuale della durata del certificato in cui viene attivato un rinnovo. Il valore deve essere compreso tra 1 e 100. Il valore predefinito è 66%. Devi impostare la finestra di rotazione percentuale rispetto alla durata del certificato, in modo che il rinnovo avviene almeno sette giorni dopo l'emissione del certificato e al momento della almeno 7 giorni prima della scadenza.
Definisci la configurazione di attendibilità
trust config contiene l'insieme di trust anchor per la convalida dei certificati peer. È incluso quanto segue:
- URI delle risorse del pool di CA attendibili: un insieme di URI delle risorse del pool di CA attendibili per emettere certificati nello stesso dominio di attendibilità a cui appartengono le VM a.
- Certificati CA in formato PEM: un insieme di certificati CA in formato PEM considerati attendibili per emettere certificati nello stesso dominio di attendibilità a cui appartengono le VM.
{ "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": { "trust_anchors": [ { "ca_pool": "projects/SUBORDINATE_CA_POOL_PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" }, { "pem_certificate": "PEM_ENCODED_CERTIFICATE" } ] } }
Sostituisci quanto segue:
- POOL_ID: l'ID del pool di identità per i carichi di lavoro
- PROJECT_NUMBER: il numero del progetto che contiene il pool di identità per i carichi di lavoro
- SUBORDINATE_CA_POOL_PROJECT_ID: l'ID del progetto che contiene il pool di CA subordinato.
- REGION: regione in cui si trova il pool di CA subordinato
- SUBORDINATE_CA_POOL_ID: l'ID del pool di CA subordinato
PEM_ENCODED_CERTIFICATE: facoltativo: un insieme di certificati CA aggiuntivi in formato PEM considerati attendibili per emettere certificati nello stesso dominio di attendibilità a cui appartengono le VM. Questi certificati verranno aggiunti al dell'elenco di trust anchor subordinati del pool di CA. Il seguente comando può essere utilizzato per codificare un file
trust-anchor.pem
in formato PEM in una stringa di una riga:cat trust-anchor.pem | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g'
Creare un file di configurazione per caricare i metadati del partner per una VM
Crea un file JSON contenente quanto segue:
- La configurazione dell'identità del carico di lavoro
- Le informazioni riportate in Definire la configurazione dell'emissione dei certificati
- Le informazioni contenute in Definisci la configurazione dell'attendibilità
Salva il file come CONFIGS.json
. Questo file viene utilizzato durante la creazione di VM per eseguire applicazioni che utilizzano identità di carico di lavoro gestite.
Il file CONFIGS.json
dovrebbe essere simile al seguente:
{ "wc.compute.googleapis.com": { "entries": { "certificate-issuance-config": { "primary_certificate_authority_config": { "certificate_authority_config": { "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" } }, "key_algorithm": "ALGORITHM" }, "trust-config": { "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": { "trust_anchors": [{ "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" }] } } } }, "iam.googleapis.com": { "entries": { "workload-identity": "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID" } } }
Passaggi successivi
- Configura l'autenticazione dei carichi di lavoro per i carichi di lavoro utilizzando mTLS.
- Scopri di più sulla creazione di pool di CA.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente