Halaman ini menjelaskan cara mengonfigurasi managed workload identity menggunakan gcloud CLI.
Halaman ini juga menjelaskan cara menyiapkan penyediaan otomatis dan pengelolaan siklus proses identitas beban kerja terkelola untuk Compute Engine. Anda mengonfigurasi kumpulan certificate authority (CA) untuk menerbitkan sertifikat menggunakan Certificate Authority Service. CA Service adalah layanan Google Cloud yang skalabel dan sangat tersedia yang menyederhanakan dan mengotomatiskan deployment, pengelolaan, dan keamanan layanan CA. Anda dapat membuat instance virtual machine (VM) yang disediakan dengan kredensial X.509 dari kumpulan CA yang dikonfigurasi. Kredensial ini kemudian dapat digunakan untuk membuat koneksi mTLS antar-beban kerja.
Sebelum memulai
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
Pahami identitas workload terkelola.
Pelajari penerbitan sertifikat menggunakan Certificate Authority Service.
Pelajari cara melakukan autentikasi workload Compute Engine menggunakan identitas workload terkelola.
Enable the IAM and Certificate Authority Service APIs:
gcloud services enable iam.googleapis.com
privateca.googleapis.com Konfigurasikan Google Cloud CLI untuk menggunakan project yang ditambahkan ke daftar yang diizinkan untuk penagihan dan kuota.
gcloud config set billing/quota_project PROJECT_ID
Ganti PROJECT_ID dengan ID project yang ditambahkan ke daftar yang diizinkan untuk pratinjau identitas beban kerja terkelola.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan guna membuat identitas beban kerja terkelola dan menyediakan sertifikat identitas beban kerja terkelola, minta administrator untuk memberi Anda peran IAM berikut pada project:
-
Untuk membuat dan mengonfigurasi identitas workload terkelola:
-
IAM Workload Identity Pool Admin (
roles/iam.workloadIdentityPoolAdmin
) -
Service Account Admin (
roles/iam.serviceAccountAdmin
)
-
IAM Workload Identity Pool Admin (
-
Untuk membuat dan mengonfigurasi pool CA:
CA Service Admin (
roles/privateca.admin
)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Atau, peran dasar Pemilik IAM (roles/owner
) juga
mencakup izin untuk mengonfigurasi identitas workload terkelola.
Anda tidak boleh memberikan peran dasar dalam lingkungan produksi, tetapi Anda dapat memberikannya dalam
lingkungan pengembangan atau pengujian.
Ringkasan
Untuk menggunakan identitas workload terkelola bagi aplikasi, Anda harus melakukan tugas berikut:
Administrator Keamanan:
- Buat identitas workload terkelola di workload identity pool.
- Tentukan kebijakan pengesahan workload dan buat akun layanan.
- Mengonfigurasi Certificate Authority Service untuk menerbitkan sertifikat bagi workload identity terkelola.
- Memberi otorisasi identitas beban kerja terkelola untuk meminta sertifikat dari kumpulan CA.
- Tentukan konfigurasi kepercayaan dan penerbitan sertifikat.
- Buat file konfigurasi untuk mengupload metadata partner untuk VM.
Compute Administrator:
Aktifkan identitas workload terkelola untuk workload yang berjalan di Compute Engine:
- Untuk VM perorangan.
- Untuk grup instance terkelola (MIG).
Membuat identitas workload terkelola
Identitas workload terkelola memungkinkan Google Cloud untuk otomatis menyediakan kredensial untuk identitas workload identity pool ke beban kerja Anda. Workload identity ditentukan dalam workload identity pool, dan diatur ke dalam batas administratif yang disebut namespaces.
Membuat workload identity pool
Anda harus membuat kumpulan dalam mode TRUST_DOMAIN
untuk membuat workload identity
terkelola. Untuk membuat workload identity pool bagi workload identity
yang dikelola, gunakan perintah workload-identity-pools create
.
gcloud iam workload-identity-pools create POOL_ID \ --location="global" \ --mode="TRUST_DOMAIN"
Ganti kode berikut:
POOL_ID
: ID unik untuk pool. ID harus berisi antara 4 dan 32 karakter, dan hanya boleh berisi karakter alfanumerik huruf kecil dan tanda pisah, serta diawali dan diakhiri dengan karakter alfanumerik. Setelah membuat kumpulan identitas beban kerja, Anda tidak dapat mengubah ID-nya.
Untuk memverifikasi bahwa workload identity pool Anda dibuat dalam
mode TRUST_DOMAIN
, gunakan
perintah workload-identity-pools describe
.
gcloud iam workload-identity-pools describe POOL_ID \ --location="global"
Output perintahnya akan terlihat seperti berikut:
mode: TRUST_DOMAIN name: projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID state: ACTIVE
Jika mode: TRUST_DOMAIN
tidak ada dalam output perintah, verifikasi bahwa project Anda telah ditambahkan ke daftar yang diizinkan untuk Pratinjau identitas beban kerja terkelola dan bahwa Anda telah mengonfigurasi gcloud CLI dengan benar untuk menggunakan project yang benar untuk penagihan dan kuota. Anda
mungkin perlu mengupdate ke gcloud CLI versi yang lebih baru.
Buat namespace
Perintah workload-identity-pools namespaces create
memungkinkan Anda membuat namespace di workload identity pool.
gcloud iam workload-identity-pools namespaces create NAMESPACE_ID \ --workload-identity-pool="POOL_ID" \ --location="global"
Ganti kode berikut:
NAMESPACE_ID
: ID unik untuk namespace. ID harus antara 2 hingga 63 karakter, hanya berisi karakter alfanumerik huruf kecil dan tanda pisah, serta diawali dan diakhiri dengan karakter alfanumerik. Setelah membuat namespace, Anda tidak dapat mengubah ID-nya.POOL_ID
: ID workload identity pool yang Anda buat sebelumnya.
Membuat identitas workload terkelola
Perintah workload-identity-pools managed-identities create
memungkinkan Anda membuat identitas workload terkelola di workload identity pool.
gcloud iam workload-identity-pools managed-identities create MANAGED_IDENTITY_ID \ --namespace="NAMESPACE_ID" \ --workload-identity-pool="POOL_ID" \ --location="global"
Ganti kode berikut:
MANAGED_IDENTITY_ID
: ID unik untuk identitas terkelola. Panjang ID harus antara 2 dan 63 karakter, hanya berisi karakter alfanumerik huruf kecil dan tanda pisah, serta diawali dan diakhiri dengan karakter alfanumerik. Setelah membuat identitas beban kerja terkelola, Anda tidak dapat mengubah ID-nya.NAMESPACE_ID
: ID namespace yang Anda buat sebelumnya.POOL_ID
: ID workload identity pool yang Anda buat sebelumnya.
ID identitas beban kerja terkelola Anda adalah ID SPIFFE, yang diformat sebagai berikut:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
Menentukan kebijakan pengesahan workload
Bagian ini menjelaskan cara menyiapkan kebijakan pengesahan. Kebijakan ini menentukan atribut yang digunakan untuk Google Cloud IAM guna memverifikasi identitas beban kerja. Setelah verifikasi, workload panggilan dapat menerima kredensial. Verifikasi didasarkan pada salah satu atribut workload berikut:
- ID instance VM
- Alamat email akun layanan terlampir
- UID akun layanan terlampir
Menentukan kebijakan pengesahan beban kerja dengan aturan pengesahan
Untuk membuat kebijakan pengesahan yang memungkinkan beban kerja Anda menggunakan ID terkelola, lakukan hal berikut:
Tentukan apakah Anda ingin membuat kebijakan pengesahan yang memungkinkan beban kerja Anda mengesahkan identitas terkelola menggunakan akun layanan terlampir atau menggunakan ID instance-nya.
Buat file kebijakan pengesahan berformat JSON.
(Opsional) Untuk menerima kredensial X.509 di instance Compute Engine, Anda harus mengaktifkan akun layanan yang terpasang. Sebaiknya tambahkan akun layanan baru ke beban kerja Anda dengan membuatnya terlebih dahulu menggunakan perintah berikut:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
Ganti
SERVICE_ACCOUNT_NAME
dengan nama akun layananBuat file kebijakan pengesahan berformat JSON yang melakukan pengesahan berdasarkan alamat email akun layanan, UID akun layanan, atau ID instance.
Alamat email akun layanan
Untuk membuat file kebijakan pengesahan yang membuktikan berdasarkan alamat email akun layanan, buat file dengan konten berikut:
{ "attestationRules": [ { "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.email/SERVICE_ACCOUNT_EMAIL" } ], }
Ganti kode berikut:
WORKLOAD_PROJECT_NUMBER
: nomor project yang berisi instance VM atau akun layanan
Untuk mendapatkan nomor project yang berisi identitas terkelola atau akun layanan yang baru saja Anda buat, jalankan perintah berikut:
gcloud projects describe $(gcloud config get-value project) \ --format="value(projectNumber)"
SERVICE_ACCOUNT_EMAIL
: alamat email akun layanan yang dilampirkan ke VM
UID akun layanan
Untuk membuat file kebijakan pengesahan yang melakukan pengesahan berdasarkan UID akun layanan, buat file dengan konten berikut:
{ "attestationRules": [ { "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID" } ], }
Ganti kode berikut:
WORKLOAD_PROJECT_NUMBER
: nomor project yang berisi instance VM atau akun layanan
Untuk mendapatkan nomor project yang berisi identitas terkelola atau akun layanan yang baru saja Anda buat, jalankan perintah berikut:
gcloud projects describe $(gcloud config get-value project) \ --format="value(projectNumber)"
SERVICE_ACCOUNT_UID
: UID akun layanan yang dilampirkan ke VM
ID instance
Untuk membuat file kebijakan pengesahan yang melakukan pengesahan berdasarkan ID instance, buat file dengan konten berikut:
{ "attestationRules": [ { "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/uid/zones/ZONE/instances/INSTANCE_ID" } ], }
Ganti kode berikut:
WORKLOAD_PROJECT_NUMBER
: nomor project yang berisi instance VM atau akun layanan
Untuk mendapatkan nomor project yang berisi identitas terkelola atau akun layanan yang baru saja Anda buat, jalankan perintah berikut:
gcloud projects describe $(gcloud config get-value project) \ --format="value(projectNumber)"
INSTANCE_ID
: ID instance VM Compute Engine
Nilai untuk ID instance harus berasal dari instance Compute Engine yang ada. Untuk mendapatkan ID instance, jalankan perintah berikut:
gcloud compute instances describe INSTANCE_NAME --zone=ZONE --format="get(id)"
INSTANCE_NAME
: nama instance VM Compute EngineZONE
: zona VM Compute Engine
Buat kebijakan pengesahan menggunakan file JSON kebijakan yang Anda buat sebelumnya dalam dokumen ini:
gcloud iam workload-identity-pools managed-identities set-attestation-rules MANAGED_IDENTITY_ID \ --namespace=NAMESPACE_ID \ --workload-identity-pool=POOL_ID \ --policy-file=PATH_TO_POLICY_JSON_FILE \ --location=global
Ganti kode berikut:
MANAGED_IDENTITY_ID
: ID unik untuk identitas terkelola. Panjang ID harus antara 2 dan 63 karakter, hanya berisi karakter alfanumerik huruf kecil dan tanda pisah, serta diawali dan diakhiri dengan karakter alfanumerik. Setelah membuat identitas beban kerja terkelola, Anda tidak dapat mengubah ID-nya.NAMESPACE_ID
: ID namespace yang Anda buat sebelumnya.POOL_ID
: ID workload identity pool yang Anda buat sebelumnya.PATH_TO_POLICY_JSON_FILE
: Jalur ke file JSON yang mewakili kebijakan pengesahan yang Anda buat sebelumnya.
Anda juga dapat memperbarui kebijakan dengan menambahkan atau menghapus aturan pengesahan secara terpisah. Untuk menambahkan pengesahan ke kebijakan pengesahan, jalankan perintah berikut:
gcloud iam workload-identity-pools managed-identities add-attestation-rule MANAGED_IDENTITY_ID \ --namespace=NAMESPACE_ID \ --workload-identity-pool=POOL_ID \ --google-cloud-resource='//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID' \ --location=global
Untuk mempelajari cara mencantumkan atau menghapus aturan pengesahan, jalankan perintah berikut:
gcloud iam workload-identity-pools managed-identities list-attestation-rules --help gcloud iam workload-identity-pools managed-identities remove-attestation-rule --help
Mengonfigurasi Certificate Authority Service untuk menerbitkan sertifikat bagi identitas workload terkelola
Buat penyiapan yang direkomendasikan untuk root dan certificate authority (CA) subordinat menggunakan kumpulan Certificate Authority Service. Kumpulan CA subordinat menerbitkan sertifikat identitas beban kerja X.509 ke VM.
Setelah mengonfigurasi kumpulan CA, Anda kemudian mengizinkan identitas workload terkelola untuk meminta dan menerima sertifikat yang ditandatangani dari kumpulan CA.
Mengonfigurasi kumpulan root CA
Gunakan antarmuka Google Cloud CLI ke Certificate Authority Service untuk mengonfigurasi kumpulan root CA.
gcloud
Buat kumpulan root CA.
Buat kumpulan root CA di tingkat Enterprise, yang ditujukan untuk pemberian sertifikat bervolume rendah dan berumur panjang menggunakan perintah
gcloud privateca pools create
.gcloud privateca pools create ROOT_CA_POOL_ID \ --location=REGION \ --tier=enterprise
Ganti kode berikut:
- ROOT_CA_POOL_ID: ID unik untuk kumpulan CA root. ID dapat memiliki panjang maksimal 64 karakter dan hanya boleh berisi karakter alfanumerik huruf besar dan kecil, garis bawah, atau tanda hubung. ID kumpulan harus unik dalam region.
- REGION: region tempat kumpulan CA root berada.
Untuk mengetahui informasi selengkapnya, lihat Membuat kumpulan CA.
Buat root CA di kumpulan root CA menggunakan perintah
gcloud privateca roots create
. Anda mungkin diminta untuk mengaktifkan CA root jika ini adalah satu-satunya CA di Kumpulan CA root.Misalnya, Anda dapat menggunakan perintah yang mirip dengan perintah berikut untuk membuat CA root.
gcloud privateca roots create ROOT_CA_ID \ --pool=ROOT_CA_POOL_ID \ --subject "CN=ROOT_CA_CN, O=ROOT_CA_ORGANIZATION" \ --key-algorithm="ec-p256-sha256" \ --max-chain-length=1 \ --location=REGION
Ganti kode berikut:
- ROOT_CA_ID: nama unik untuk CA root. Nama CA dapat memiliki panjang hingga 64 karakter dan hanya boleh berisi karakter alfanumerik, garis bawah, atau tanda hubung dalam huruf besar dan kecil. Nama CA harus unik dalam region.
- ROOT_CA_POOL_ID: ID kumpulan CA root.
- ROOT_CA_CN: nama umum CA root.
- ROOT_CA_ORGANIZATION: organisasi CA root.
- REGION: region tempat kumpulan CA root berada.
Untuk mengetahui informasi selengkapnya, lihat Membuat root certificate authority. Untuk mengetahui informasi selengkapnya tentang kolom
subject
untuk CA, lihat Subjek.Opsional: Ulangi langkah-langkah sebelumnya untuk membuat root CA tambahan di kumpulan root CA. Hal ini dapat berguna untuk rotasi CA root.
Mengonfigurasi CA bawahan
Gunakan antarmuka Google Cloud CLI ke Certificate Authority Service untuk membuat kumpulan CA subordinat dan CA subordinat.
Jika memiliki beberapa skenario penerbitan sertifikat, Anda dapat membuat CA subordinasi untuk setiap skenario tersebut. Selain itu, menambahkan beberapa CA subordinat dalam kumpulan CA akan membantu Anda mencapai load balancing permintaan sertifikat yang lebih baik.
gcloud
Gunakan perintah gcloud privateca pools create
untuk membuat kumpulan CA subordinat.
Buat kumpulan CA subordinat di tingkat DevOps, yang ditujukan untuk penerbitan sertifikat bervolume tinggi dan berumur pendek .
gcloud privateca pools create SUBORDINATE_CA_POOL_ID \ --location=REGION \ --tier=devops
Ganti kode berikut:
- SUBORDINATE_CA_POOL_ID: ID unik untuk kumpulan CA subordinasi. Panjang ID dapat mencapai 64 karakter dan hanya boleh berisi karakter alfanumerik huruf besar dan kecil, garis bawah, atau tanda hubung. ID kumpulan harus unik dalam region.
- REGION: region tempat membuat kumpulan CA subordinat.
Untuk mengetahui informasi selengkapnya, lihat Membuat kumpulan CA.
Buat CA subordinat di kumpulan CA subordinat menggunakan perintah
gcloud privateca subordinates create
. Jangan ubah mode penerbitan berbasis konfigurasi default.Misalnya, Anda dapat menggunakan perintah yang mirip dengan berikut ini untuk membuat CA subordinat.
gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_CA_POOL_ID \ --location=REGION \ --issuer-pool=ROOT_CA_POOL_ID \ --issuer-location=REGION \ --subject="CN=SUBORDINATE_CA_CN, O=SUBORDINATE_CA_ORGANIZATION" \ --key-algorithm="ec-p256-sha256" \ --use-preset-profile=subordinate_mtls_pathlen_0
Ganti kode berikut:
- SUBORDINATE_CA_ID: nama unik untuk CA bawahan. Panjang nama maksimal 64 karakter dan hanya boleh berisi karakter alfanumerik huruf besar dan kecil, garis bawah, atau tanda hubung. Nama kumpulan harus unik dalam region.
- SUBORDINATE_CA_POOL_ID: nama kumpulan CA subordinat.
- REGION: region tempat kumpulan CA subordinat berada.
- ROOT_CA_POOL_ID: ID kumpulan CA root.
- REGION: region kumpulan CA root.
- SUBORDINATE_CA_CN: nama umum CA subordinat.
- SUBORDINATE_CA_ORGANIZATION: nama organisasi penerbit CA bawahan.
Untuk mengetahui informasi selengkapnya, lihat Membuat kumpulan CA. Untuk mengetahui informasi selengkapnya tentang kolom
subject
untuk CA, lihat Subjek.
Memberi otorisasi identitas workload terkelola untuk meminta sertifikat dari kumpulan CA
Identitas workload terkelola memerlukan izin untuk meminta sertifikat dari Layanan CA dan mendapatkan sertifikat publik.
gcloud
Berikan peran IAM CA Service Workload Certificate Requester (
roles/privateca.workloadCertificateRequester
) di setiap kumpulan CA subordinat ke identitas beban kerja yang dikelola. Perintahgcloud privateca pools add-iam-policy-binding
berikut memberi otorisasi identitas workload terkelola untuk meminta sertifikat dari rantai sertifikat Layanan CA.gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \ --location=REGION \ --role=roles/privateca.workloadCertificateRequester \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"
Ganti kode berikut:
- SUBORDINATE_CA_POOL_ID: ID untuk kumpulan CA subordinat.
- REGION: region kumpulan CA subordinat.
- PROJECT_NUMBER: nomor project dari project yang berisi workload identity pool.
- POOL_ID: ID workload identity pool.
Berikan peran IAM Pembaca Kumpulan Layanan CA (
roles/privateca.poolReader
) di kumpulan CA subordinat ke identitas beban kerja yang dikelola. Tindakan ini akan memberikan otorisasi kepada identitas workload terkelola untuk mendapatkan sertifikat X.509 yang ditandatangani dari rantai sertifikat CA.gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \ --location=REGION \ --role=roles/privateca.poolReader \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"
Ganti kode berikut:
- SUBORDINATE_CA_POOL_ID: ID untuk kumpulan CA subordinat.
- REGION: region kumpulan CA subordinat.
- PROJECT_NUMBER: nomor project dari project yang berisi workload identity pool.
- POOL_ID: ID workload identity pool.
Menentukan konfigurasi penerbitan sertifikat dan kepercayaan
Anda menggunakan informasi ini untuk membuat file JSON yang diupload sebagai data partner saat membuat VM.
Menentukan konfigurasi penerbitan sertifikat
Konfigurasi penerbitan sertifikat berikut diperlukan untuk mengaktifkan workload identity terkelola untuk Compute Engine.
{ "primary_certificate_authority_config": { "certificate_authority_config": { "ca_pool": "projects/SUBORDINATE_CA_POOL_PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" } }, "key_algorithm": "ALGORITHM", "workload_certificate_lifetime_seconds": DURATION, "rotation_window_percentage": ROTATION_WINDOW_PERCENTAGE }
Ganti kode berikut:
- SUBORDINATE_CA_POOL_PROJECT_ID: ID project yang berisi kumpulan CA subordinat.
- REGION: region tempat kumpulan CA subordinat berada.
- SUBORDINATE_CA_POOL_ID: nama kumpulan CA subordinat
- ALGORITHM: algoritma enkripsi yang digunakan untuk membuat
kunci pribadi. Nilai yang valid adalah
rsa-2048
(default),rsa-3072
,rsa-4096
,ecdsa-p256
, danecdsa-p384
. - DURATION: Opsional: Durasi validitas sertifikat leaf, dalam detik. Nilai harus antara 3600 dan 315360000. Jika tidak ditentukan, nilai default 86400 akan digunakan. Validitas sebenarnya dari sertifikat yang diterbitkan juga bergantung pada CA yang menerbitkannya, karena dapat membatasi masa berlaku sertifikat yang diterbitkan.
- ROTATION_WINDOW_PERCENTAGE: Opsional: Persentase masa aktif sertifikat saat perpanjangan dipicu. Nilai harus antara 1 dan 100. Nilai defaultnya adalah 66 persen. Anda harus menetapkan persentase periode rotasi sehubungan dengan masa berlaku sertifikat sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat dikeluarkan dan setidaknya 7 hari sebelum masa berlakunya habis.
Menentukan konfigurasi kepercayaan
Konfigurasi kepercayaan berisi kumpulan anchor kepercayaan untuk memvalidasi sertifikat peer. Ini mencakup hal-hal berikut:
- URI resource kumpulan CA tepercaya: Kumpulan URI resource kumpulan CA yang tepercaya untuk menerbitkan sertifikat di domain kepercayaan yang sama dengan VM yang dimiliki.
- Sertifikat CA berformat PEM: Kumpulan sertifikat CA berformat PEM yang dipercaya untuk menerbitkan sertifikat di domain kepercayaan yang sama dengan VM yang dimiliki.
{ "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": { "trust_anchors": [ { "ca_pool": "projects/SUBORDINATE_CA_POOL_PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" }, { "pem_certificate": "PEM_ENCODED_CERTIFICATE" } ] } }
Ganti kode berikut:
- POOL_ID: ID workload identity pool
- PROJECT_NUMBER: nomor project dari project yang berisi workload identity pool
- SUBORDINATE_CA_POOL_PROJECT_ID: ID project yang berisi kumpulan CA subordinat.
- REGION: region tempat kumpulan CA subordinat berada
- SUBORDINATE_CA_POOL_ID: ID subordinate CA pool
PEM_ENCODED_CERTIFICATE: Opsional: kumpulan sertifikat CA berformat PEM tambahan yang dipercaya untuk menerbitkan sertifikat di domain kepercayaan yang sama dengan VM. Sertifikat ini akan ditambahkan ke daftar anchor kepercayaan kumpulan CA subordinat. Perintah berikut dapat digunakan untuk mengenkode file
trust-anchor.pem
berformat PEM menjadi string satu baris:cat trust-anchor.pem | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g'
Membuat file konfigurasi untuk mengupload metadata partner untuk VM
Buat file JSON yang berisi hal berikut:
- Konfigurasi untuk workload identity
- Informasi dari Menentukan konfigurasi penerbitan sertifikat
- Informasi dari Menentukan konfigurasi kepercayaan
Simpan file ini sebagai CONFIGS.json
. File ini digunakan saat membuat VM untuk
menjalankan aplikasi yang menggunakan workload identity terkelola.
File CONFIGS.json
Anda akan terlihat seperti berikut:
{ "wc.compute.googleapis.com": { "entries": { "certificate-issuance-config": { "primary_certificate_authority_config": { "certificate_authority_config": { "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" } }, "key_algorithm": "ALGORITHM" }, "trust-config": { "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": { "trust_anchors": [{ "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" }] } } } }, "iam.googleapis.com": { "entries": { "workload-identity": "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID" } } }
Langkah selanjutnya
- Mengonfigurasi autentikasi beban kerja ke beban kerja menggunakan mTLS.
- Pelajari lebih lanjut cara membuat kumpulan CA.
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis