Auf dieser Seite wird erläutert, wie verwaltete Workload Identitys mithilfe der gcloud CLI konfiguriert werden.
Auf dieser Seite wird auch beschrieben, wie Sie die automatische Bereitstellung und die Lebenszyklusverwaltung verwalteter Workload Identitys für Compute Engine einrichten. Sie konfigurieren CA-Pools so, dass Zertifikate mit Certificate Authority Service ausgestellt werden. CA Service ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, der die Bereitstellung, Verwaltung und Sicherheit von CA-Diensten vereinfacht und automatisiert. Sie können VM-Instanzen erstellen, die mit X.509-Anmeldedaten aus dem konfigurierten CA-Pool bereitgestellt werden. Mit diesen Anmeldedaten können dann mTLS-Verbindungen zwischen Arbeitslasten hergestellt werden.
Hinweise
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
Zugriff auf die Vorschau der verwalteten Arbeitslastidentitäten anfordern.
Informationen zu verwalteten Arbeitslastidentitäten
Weitere Informationen zur Zertifikatsausstellung mit Certificate Authority Service
Compute Engine-Arbeitslasten mithilfe verwalteter Arbeitslastidentitäten authentifizieren
Enable the IAM and Certificate Authority Service APIs:
gcloud services enable iam.googleapis.com
privateca.googleapis.com Konfigurieren Sie die Google Cloud CLI so, dass das Projekt verwendet wird, das für die Abrechnung und das Kontingent auf die Zulassungsliste gesetzt wurde.
gcloud config set billing/quota_project PROJECT_ID
Ersetzen Sie PROJECT_ID durch die ID des Projekts, das der Zulassungsliste für die Vorschau der verwalteten Workload Identity hinzugefügt wurde.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von verwalteten Workload-Identitäten und zum Bereitstellen von Workload Identity-Zertifikaten für verwaltete Arbeitslasten benötigen:
-
So erstellen und konfigurieren Sie verwaltete Workload Identitys:
-
IAM Workload Identity Pool Admin (
roles/iam.workloadIdentityPoolAdmin
) -
Service Account Admin (
roles/iam.serviceAccountAdmin
)
-
IAM Workload Identity Pool Admin (
-
So erstellen und konfigurieren Sie CA-Pools:
CA Service Admin (
roles/privateca.admin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Alternativ enthält die einfache Rolle „IAM-Inhaber“ (roles/owner
) auch Berechtigungen zum Konfigurieren verwalteter Workload Identitys.
In einer Produktionsumgebung sollten Sie keine einfachen Rollen zuweisen, Sie können sie aber in einer Entwicklungs- oder Testumgebung gewähren.
Überblick
Führen Sie die folgenden Aufgaben aus, um verwaltete Arbeitslastidentitäten für Ihre Anwendungen zu verwenden:
Sicherheitsadministrator:
- Erstellen Sie verwaltete Workload Identities in einem Workload Identity-Pool.
- Definieren Sie die Arbeitslastattestierungsrichtlinie und erstellen Sie ein Dienstkonto.
- Certificate Authority Service so konfigurieren, dass Zertifikate für verwaltete Arbeitslastidentitäten ausgestellt werden.
- Autorisieren Sie verwaltete Arbeitslastidentitäten, um Zertifikate vom CA-Pool anzufordern
- Definieren Sie die Konfiguration der Vertrauensstellung und der Zertifikatsausstellung.
- Erstellen Sie eine Konfigurationsdatei, um die Partnermetadaten für eine VM hochzuladen.
Compute Administrator:
Aktivieren Sie verwaltete Workload Identitys für Arbeitslasten, die in Compute Engine ausgeführt werden:
- Für Einzel-VMs.
- Für verwaltete Instanzgruppen (Managed Instance Groups, MIGs).
Verwaltete Workload Identitys erstellen
Mit verwalteten Workload Identities kann Google Cloud Anmeldedaten für Workload Identity-Poolidentitäten automatisch auf Ihren Arbeitslasten bereitstellen. Workload Identitys werden in einem Workload Identity-Pool definiert und in administrativen Grenzen organisiert, die als Namespaces bezeichnet werden.
Erstellen Sie einen Workload Identity-Pool.
Sie müssen einen Pool im Modus TRUST_DOMAIN
erstellen, um verwaltete Arbeitslastidentitäten zu erstellen. Verwenden Sie den Befehl workload-identity-pools create
, um einen Workload Identity-Pool für verwaltete Workload Identitys zu erstellen.
gcloud iam workload-identity-pools create POOL_ID \ --location="global" \ --mode="TRUST_DOMAIN"
Ersetzen Sie Folgendes:
POOL_ID
: die eindeutige ID des Pools. Die ID muss zwischen 4 und 32 Zeichen lang sein und darf nur alphanumerische Zeichen in Kleinschreibung sowie Bindestriche enthalten sowie mit einem alphanumerischen Zeichen beginnen und enden. Nachdem Sie einen Workload Identity-Pool erstellt haben, können Sie seine ID nicht mehr ändern.
Prüfen Sie mit dem Befehl workload-identity-pools describe
, ob der Workload Identity-Pool im Modus TRUST_DOMAIN
erstellt wurde.
gcloud iam workload-identity-pools describe POOL_ID \ --location="global"
Die Befehlsausgabe sollte in etwa so aussehen:
mode: TRUST_DOMAIN name: projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID state: ACTIVE
Wenn mode: TRUST_DOMAIN
in der Befehlsausgabe nicht vorhanden ist, prüfen Sie, ob Ihr Projekt zur Zulassungsliste für die Vorschau der verwalteten Workload Identity hinzugefügt wurde und ob Sie die gcloud CLI korrekt konfiguriert haben, um das richtige Projekt für Abrechnung und Kontingent zu verwenden. Möglicherweise müssen Sie auf eine neuere Version der gcloud CLI aktualisieren.
Namespace erstellen
Mit dem Befehl workload-identity-pools namespaces create
können Sie einen Namespace in einem Workload Identity-Pool erstellen.
gcloud iam workload-identity-pools namespaces create NAMESPACE_ID \ --workload-identity-pool="POOL_ID" \ --location="global"
Ersetzen Sie Folgendes:
NAMESPACE_ID
: die eindeutige ID für den Namespace. Die ID muss zwischen 2 und 63 Zeichen lang sein, darf nur kleingeschriebene alphanumerische Zeichen sowie Bindestriche enthalten und mit einem alphanumerischen Zeichen beginnen und enden. Nachdem Sie einen Namespace erstellt haben, können Sie seine ID nicht mehr ändern.POOL_ID
: die ID des Workload Identity-Pools, die Sie zuvor erstellt haben.
Verwaltete Workload Identity erstellen
Mit dem Befehl workload-identity-pools managed-identities create
können Sie eine verwaltete Workload Identity in einem Workload Identity-Pool erstellen.
gcloud iam workload-identity-pools managed-identities create MANAGED_IDENTITY_ID \ --namespace="NAMESPACE_ID" \ --workload-identity-pool="POOL_ID" \ --location="global"
Ersetzen Sie Folgendes:
MANAGED_IDENTITY_ID
: die eindeutige ID für die verwaltete Identität. Die ID muss zwischen 2 und 63 Zeichen lang sein, nur alphanumerische Zeichen in Kleinschreibung sowie Bindestriche enthalten und mit einem alphanumerischen Zeichen beginnen und enden. Nachdem Sie eine verwaltete Workload Identity erstellt haben, können Sie deren ID nicht mehr ändern.NAMESPACE_ID
: die Namespace-ID, die Sie zuvor erstellt haben.POOL_ID
: die ID des Workload Identity-Pools, die Sie zuvor erstellt haben.
Die SPIFFE-Identität für Ihre verwaltete Workload Identity entspricht Folgendem:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
Arbeitslast-Attestierungsrichtlinie definieren
Eine Attestierungsrichtlinie für Arbeitslasten sorgt dafür, dass nur vertrauenswürdige Arbeitslasten die verwaltete Identität verwenden können. Sie müssen Ihrer Arbeitslast erlauben, die verwaltete Workload Identity zu verwenden, bevor sie Anmeldedaten erhalten kann.
Dazu erstellen Sie ein nutzerverwaltetes Dienstkonto und hängen es an Ihre Arbeitslast an. Ihre Arbeitslast verwendet die verwaltete Workload Identity als Identität, wenn sie sich über gegenseitiges TLS (mTLS) bei anderen Arbeitslasten authentifiziert. Ihre Arbeitslast verwendet das Dienstkonto als ihre Identität, wenn sie auf andere Google Cloud-Dienste und -Ressourcen zugreift.
Mit dem Befehl service-accounts create
können Sie eine verwaltete Workload Identity in einem Workload Identity-Pool erstellen.
Um das Dienstkonto zu erstellen, führen Sie den folgenden Befehl aus:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT_NAME
: der Name des Dienstkontos.
Verwenden Sie den Befehl workload-identity-pools managed-identities workload-sources create
, um eine Attestierungsrichtlinie für Arbeitslasten zu erstellen, mit der für Ihre Arbeitslasten mit dem angehängten Dienstkonto Anmeldedaten für die verwaltete Workload Identity ausgestellt werden können:
gcloud iam workload-identity-pools managed-identities workload-sources create \ project-WORKLOAD_PROJECT_NUMBER \ --single-attribute-selectors "compute.googleapis.com/Instance.attached_service_account.email=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \ --managed-identity MANAGED_IDENTITY_ID \ --namespace NAMESPACE_ID \ --workload-identity-pool POOL_ID \ --location "global"
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT_NAME
: der Name des Dienstkontos.WORKLOAD_PROJECT_NUMBER
: die Projektnummer des Projekts, das Ihre Arbeitslast enthält. Die Richtlinie ermöglicht Arbeitslasten in diesem Projekt, die verwaltete Workload Identity zu verwenden.PROJECT_ID
ist die ID des Projekts, das das Dienstkonto enthält.MANAGED_IDENTITY_ID
: die eindeutige ID für die verwaltete Identität.NAMESPACE_ID
: die Namespace-ID, die Sie zuvor erstellt habenPOOL_ID
: die ID des Workload Identity-Pools, die Sie zuvor erstellt haben.
Für einen Workload Identity-Pool können Sie maximal 50 einzelne Attributselektoren für Ihr Arbeitslastprojekt definieren.
Führen Sie den folgenden Befehl aus, um zu erfahren, wie Sie eine Attestierungsrichtlinie aktualisieren oder löschen:
gcloud iam workload-identity-pools managed-identities workload-sources --help
Certificate Authority Service so konfigurieren, dass Zertifikate für verwaltete Workload Identitys ausgestellt werden
Erstellen Sie die empfohlene Einrichtung für Stamm- und untergeordnete Zertifizierungsstellen (Certificate Authority Service, CA) mit Certificate Authority Service-Pools. Der untergeordnete CA-Pool stellt die X.509-Workload Identity-Zertifikate für VMs aus.
Nachdem Sie die CA-Pools konfiguriert haben, autorisieren Sie die verwalteten Arbeitslastidentitäten, um die signierten Zertifikate von den CA-Pools anzufordern und zu empfangen.
Stamm-CA-Pool konfigurieren
Verwenden Sie die Google Cloud CLI-Schnittstelle zu Certificate Authority Service, um einen Stamm-CA-Pool zu konfigurieren.
gcloud
Erstellen Sie einen Stamm-CA-Pool.
Erstellen Sie den Stamm-CA-Pool auf der Ebene Enterprise, der für die langlebige Ausgabe von Zertifikaten mit geringem Volumen vorgesehen ist. Verwenden Sie dazu den Befehl
gcloud privateca pools create
. “gcloud privateca pools create ROOT_CA_POOL_ID \ --location=REGION \ --tier=enterprise
Ersetzen Sie Folgendes:
- ROOT_CA_POOL_ID: eine eindeutige ID für den Stamm-CA-Pool. Die ID kann bis zu 64 Zeichen lang sein und darf nur alphanumerische Zeichen in Groß- und Kleinschreibung, Unterstriche oder Bindestriche enthalten. Die Pool-ID muss innerhalb der Region eindeutig sein.
- REGION: die Region, in der sich der Stamm-CA-Pool befindet.
Weitere Informationen finden Sie unter CA-Pools erstellen.
Erstellen Sie mit dem Befehl
gcloud privateca roots create
eine Stamm-CA im Stamm-CA-Pool. Sie werden möglicherweise aufgefordert, die Stamm-CA zu aktivieren, wenn dies die einzige Zertifizierungsstelle im Stamm-CA-Pool ist.Beispielsweise können Sie einen Befehl wie den folgenden verwenden, um eine Stamm-CA zu erstellen.
gcloud privateca roots create ROOT_CA_ID \ --pool=ROOT_CA_POOL_ID \ --subject "CN=ROOT_CA_CN, O=ROOT_CA_ORGANIZATION" \ --key-algorithm="ec-p256-sha256" \ --max-chain-length=1 \ --location=REGION
Ersetzen Sie Folgendes:
- ROOT_CA_ID ist ein eindeutiger Name für die Stammzertifizierungsstelle. Der CA-Name kann bis zu 64 Zeichen lang sein und darf nur alphanumerische Zeichen in Groß- und Kleinschreibung, Unterstriche oder Bindestriche enthalten. Der CA-Name muss innerhalb der Region eindeutig sein.
- ROOT_CA_POOL_ID: die ID des Stamm-CA-Pools.
- ROOT_CA_CN: der Name der Stammzertifizierungsstelle
- ROOT_CA_ORGANIZATION: die Organisation der Stammzertifizierungsstelle.
- REGION: die Region, in der sich der Stamm-CA-Pool befindet.
Weitere Informationen finden Sie unter Root-Zertifizierungsstelle erstellen. Weitere Informationen zu den
subject
-Feldern für die Zertifizierungsstelle finden Sie unter Inhaber.Optional: Wiederholen Sie die vorherigen Schritte, um eine zusätzliche Stamm-CA im Stamm-CA-Pool zu erstellen. Dies kann für die Rotation von Stamm-CA nützlich sein.
Untergeordnete CAs konfigurieren
Verwenden Sie die Google Cloud CLI-Schnittstelle zu Certificate Authority Service, um einen untergeordneten CA-Pool und eine untergeordnete CA zu erstellen.
Wenn Sie mehrere Szenarien für die Zertifikatsausstellung haben, können Sie für jedes dieser Szenarien eine untergeordnete Zertifizierungsstelle erstellen. Wenn Sie einem CA-Pool mehrere untergeordnete CAs hinzufügen, können Sie außerdem ein besseres Load-Balancing von Zertifikatsanfragen erzielen.
gcloud
Verwenden Sie den Befehl gcloud privateca pools create
, um einen untergeordneten CA-Pool zu erstellen.
Erstellen Sie den untergeordneten CA-Pool auf der DevOps-Ebene, die für die Ausstellung von kurzlebigen Zertifikaten mit hohem Volumen vorgesehen ist .
gcloud privateca pools create SUBORDINATE_CA_POOL_ID \ --location=REGION \ --tier=devops
Ersetzen Sie Folgendes:
- SUBORDINATE_CA_POOL_ID ist eine eindeutige ID für den untergeordneten CA-Pool. Die ID kann bis zu 64 Zeichen lang sein und darf nur alphanumerische Zeichen in Kleinschreibung und Großschreibung, Unterstriche oder Bindestriche enthalten. Die Pool-ID muss innerhalb der Region eindeutig sein.
- REGION ist die Region, in der der untergeordnete CA-Pool erstellt werden soll.
Weitere Informationen finden Sie unter CA-Pools erstellen.
Erstellen Sie im untergeordneten CA-Pool mit dem Befehl
gcloud privateca subordinates create
eine untergeordnete CA. Ändern Sie nicht den standardmäßigen konfigurationsbasierten Ausstellungsmodus.Beispielsweise können Sie eine untergeordnete Zertifizierungsstelle mit einem ähnlichen Befehl wie dem folgenden erstellen.
gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_CA_POOL_ID \ --location=REGION \ --issuer-pool=ROOT_CA_POOL_ID \ --issuer-location=REGION \ --subject="CN=SUBORDINATE_CA_CN, O=SUBORDINATE_CA_ORGANIZATION" \ --key-algorithm="ec-p256-sha256" \ --use-preset-profile=subordinate_mtls_pathlen_0
Ersetzen Sie Folgendes:
- SUBORDINATE_CA_ID ist ein eindeutiger Name für die untergeordnete Zertifizierungsstelle. Der Name kann bis zu 64 Zeichen lang sein und darf nur alphanumerische Zeichen in Kleinbuchstaben, Großbuchstaben, Unterstriche oder Bindestriche enthalten. Der Poolname muss innerhalb der Region eindeutig sein.
- SUBORDINATE_CA_POOL_ID ist der Name des untergeordneten CA-Pools.
- REGION ist die Region, in der sich der untergeordnete CA-Pool befindet.
- ROOT_CA_POOL_ID: die ID des Stamm-CA-Pools.
- REGION ist die Region des Stamm-CA-Pools.
- SUBORDINATE_CA_CN ist der allgemeine Name der untergeordneten CA.
- SUBORDINATE_CA_ORGANIZATION ist der Name der untergeordneten CA-Ausstellerorganisation.
Weitere Informationen finden Sie unter CA-Pools erstellen. Weitere Informationen zu den
subject
-Feldern für die Zertifizierungsstelle finden Sie unter Inhaber.
Verwaltete Arbeitslastidentitäten autorisieren, um Zertifikate vom CA-Pool anzufordern
Die verwalteten Arbeitslastidentitäten benötigen Berechtigungen zum Anfordern von Zertifikaten vom CA Service und zum Abrufen der öffentlichen Zertifikate.
gcloud
Weisen Sie der verwalteten Arbeitslastidentität die IAM-Rolle Anfragesteller des CA Service-Arbeitslastzertifikats (
roles/privateca.workloadCertificateRequester
) für jeden untergeordneten CA-Pool zu. Mit dem folgendengcloud privateca pools add-iam-policy-binding
-Befehl wird die verwaltete Workload Identity autorisiert, Zertifikate von den CA Service-Zertifikatsketten anzufordern.gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \ --location=REGION \ --role=roles/privateca.workloadCertificateRequester \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"
Ersetzen Sie Folgendes:
- SUBORDINATE_CA_POOL_ID ist die ID des untergeordneten CA-Pools.
- REGION ist die Region des untergeordneten CA-Pools.
- PROJECT_NUMBER: die Projektnummer des Projekts, das den Workload Identity-Pool enthält.
- POOL_ID: Die ID des Workload Identity-Pools.
Weisen Sie der verwalteten Arbeitslastidentität die IAM-Rolle CA-Dienstpool-Leser (
roles/privateca.poolReader
) für die untergeordneten CA-Pools zu. Dadurch wird die verwaltete Workload Identity autorisiert, die signierten X.509-Zertifikate aus den Zertifikatsketten der Zertifizierungsstelle abzurufen.gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \ --location=REGION \ --role=roles/privateca.poolReader \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"
Ersetzen Sie Folgendes:
- SUBORDINATE_CA_POOL_ID ist die ID des untergeordneten CA-Pools.
- REGION ist die Region des untergeordneten CA-Pools.
- PROJECT_NUMBER: die Projektnummer des Projekts, das den Workload Identity-Pool enthält.
- POOL_ID: Die ID des Workload Identity-Pools.
Konfiguration der Vertrauensstellung und Zertifikatsausstellung definieren
Sie verwenden diese Informationen, um eine JSON-Datei zu erstellen, die beim Erstellen einer VM als Partnerdaten hochgeladen wird.
Konfiguration der Zertifikatsausstellung definieren
Die folgende Zertifikatsausstellungskonfiguration ist erforderlich, um verwaltete Workload Identitys für Compute Engine zu aktivieren.
{ "primary_certificate_authority_config": { "certificate_authority_config": { "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" } }, "key_algorithm": "ALGORITHM", "workload_certificate_lifetime_seconds": "DURATION", "rotation_window_percentage": "ROTATION_WINDOW_PERCENTAGE" }
Ersetzen Sie Folgendes:
- PROJECT_NAME: der Name des Projekts, das den CA-Pool enthält
- REGION: die Region, in der sich der untergeordnete CA-Pool befindet
- SUBORDINATE_CA_POOL_ID ist der Name des untergeordneten CA-Pools
- ALGORITHM: der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sind
rsa-2048
(Standard),rsa-3072
,rsa-4096
,ecdsa-p256
undecdsa-p384
. - DURATION (optional): Die Gültigkeitsdauer des untergeordneten Zertifikats in Sekunden. Der Wert muss zwischen 3600 und 315360000 liegen. Wenn keine Angabe erfolgt, wird der Standardwert 86400 verwendet. Die tatsächliche Gültigkeit des ausgestellten Zertifikats hängt auch von der ausstellenden Zertifizierungsstelle ab, da sie die Lebensdauer des ausgestellten Zertifikats einschränken kann.
- ROTATION_WINDOW_PERCENTAGE: Optional: Der Prozentsatz der Lebensdauer des Zertifikats, bei dem eine Verlängerung ausgelöst wird. Der Wert muss zwischen 1 und 100 liegen. Die Standardeinstellung ist 66 Prozent. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Lebensdauer des Zertifikats festlegen, damit die Zertifikatsverlängerung mindestens 7 Tage nach der Ausstellung des Zertifikats und mindestens 7 Tage vor Ablauf erfolgt.
Vertrauenskonfiguration definieren
Die Vertrauenskonfiguration enthält eine Reihe von Vertrauensanker zum Prüfen von Peer-Zertifikaten. Der Support umfasst
- Ressourcen-URIs für vertrauenswürdige CA-Pools: Eine Reihe von CA-Pool-Ressourcen-URIs, denen bei der Ausstellung von Zertifikaten in derselben vertrauenswürdigen Domain vertraut wird, zu der auch die VMs gehören.
- PEM-formatierte CA-Zertifikate: Eine Reihe von PEM-formatierten CA-Zertifikaten, die für die Ausstellung von Zertifikaten in derselben vertrauenswürdigen Domain vertrauenswürdig sind, zu der die VMs gehören.
{ "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": { "trust_anchors": [ { "ca_pool": "projects/PROJECT_NAME/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" }, { "pem_certificate": "PEM-encoded certificate" } ] } }
Ersetzen Sie Folgendes:
- POOL_ID: die ID des Workload Identity-Pools
- PROJECT_NUMBER: die Projektnummer des Projekts, das den Workload Identity-Pool enthält.
- PROJECT_NAME: der Name des Projekts, das den CA-Pool enthält
- REGION: die Region, in der sich der untergeordnete CA-Pool befindet
- SUBORDINATE_CA_POOL_ID: die ID des untergeordneten CA-Pools
- PEM-encoded certificate: Optional: Eine Reihe von PEM-formatierten CA-Zertifikaten, die vertrauenswürdig sind, um Zertifikate in derselben vertrauenswürdigen Domain auszustellen, zu der die VMs gehören
Konfigurationsdatei erstellen, um die Partnermetadaten für eine VM hochzuladen
Erstellen Sie eine JSON-Datei, die Folgendes enthält:
- Die Konfiguration für die Workload Identity
- Die Informationen unter Konfiguration der Zertifikatsausstellung definieren
- Die Informationen aus Vertrauenskonfiguration definieren
Speichern Sie diese Datei als CONFIGS.json
. Diese Datei wird beim Erstellen von VMs zum Ausführen von Anwendungen verwendet, die verwaltete Workload Identitys verwenden.
Die Datei CONFIGS.json
sollte so ähnlich wie folgt aussehen:
{ "wc.compute.googleapis.com": { "entries": { "certificate-issuance-config": { "primary_certificate_authority_config": { "certificate_authority_config": { "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" } }, "key_algorithm": "ALGORITHM" }, "trust-config": { "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": { "trust_anchors": [{ "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" }] } } } }, "iam.googleapis.com": { "entries": { "workload-identity": "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID" } } }
Nächste Schritte
- Arbeitslast-zu-Arbeitslast-Authentifizierung mit mTLS konfigurieren
- Weitere Informationen zum Erstellen von CA-Pools.
Überzeugen Sie sich selbst
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten