Nesta página, explicamos como configurar identidades de carga de trabalho gerenciadas usando a gcloud CLI.
Nesta página, também descrevemos como configurar o provisionamento automático e o gerenciamento do ciclo de vida de identidades de cargas de trabalho gerenciadas para o Compute Engine. Configure pools de autoridade certificadora (CA) para emitir certificados usando o Certificate Authority Service. O CA Service é um serviço do Google Cloud altamente disponível e escalonável que simplifica e automatiza a implantação, o gerenciamento e a segurança dos serviços de CA. É possível criar instâncias de máquina virtual (VMs) provisionadas com credenciais X.509 do pool de AC configurado. Essas credenciais podem ser usadas para estabelecer conexões mTLS entre cargas de trabalho.
Antes de começar
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
Solicitar acesso à visualização das identidades de carga de trabalho gerenciada.
.Entenda as identidades das cargas de trabalho gerenciadas.
Saiba mais sobre a emissão de certificados usando o Certificate Authority Service.
Saiba como autenticar cargas de trabalho do Compute Engine usando identidades de carga de trabalho gerenciadas.
Enable the IAM and Certificate Authority Service APIs:
gcloud services enable iam.googleapis.com
privateca.googleapis.com Configure a CLI do Google Cloud para usar o projeto adicionado à lista de permissões para faturamento e cota.
gcloud config set billing/quota_project PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto que foi adicionado à lista de permissões para a visualização da identidade da carga de trabalho gerenciada.
Funções exigidas
Para receber as permissões necessárias para criar identidades de cargas de trabalho gerenciadas e provisionar certificados de identidade de carga de trabalho gerenciada, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Para criar e configurar identidades de cargas de trabalho gerenciadas:
-
Administrador de pool de Identidade da carga de trabalho do IAM (
roles/iam.workloadIdentityPoolAdmin
) -
Administrador da conta de serviço (
roles/iam.serviceAccountAdmin
)
-
Administrador de pool de Identidade da carga de trabalho do IAM (
-
Para criar e configurar pools de ACs:
Administrador de serviço de AC (
roles/privateca.admin
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Como alternativa, o papel básico de proprietário do IAM (roles/owner
) também inclui permissões para configurar identidades de carga de trabalho gerenciada.
Não conceda papéis básicos em um ambiente de produção, recomendamos que você faça isso em um
ambiente de desenvolvimento ou teste.
Visão geral
Para usar identidades de carga de trabalho gerenciada nos aplicativos, execute as tarefas a seguir:
Administrador de segurança:
- Crie identidades das cargas de trabalho gerenciadas em um pool de Identidade da carga de trabalho.
- Defina uma política de atestado de carga de trabalho e crie uma conta de serviço.
- Configure o Certificate Authority Service para emitir certificados para identidades das cargas de trabalho gerenciadas.
- Autorize que identidades das cargas de trabalho gerenciadas solicitem certificados do pool de AC.
- Defina a configuração de emissão de certificados e confiança.
- Crie um arquivo de configuração para fazer upload dos metadados do parceiro para uma VM.
Administrador de computação:
Ative as identidades das cargas de trabalho gerenciadas para cargas de trabalho em execução no Compute Engine:
Criar identidades de carga de trabalho gerenciada
As identidades de carga de trabalho gerenciadas permitem que o Google Cloud provisione automaticamente as credenciais para identidades do pool de identidades de cargas de trabalho nas cargas de trabalho. As identidades de carga de trabalho são definidas em um pool de identidades de carga de trabalho e organizadas em limites administrativos chamados namespaces.
Criar um pool de identidade da carga de trabalho
É preciso criar um pool no modo TRUST_DOMAIN
para criar identidades de carga de trabalho
gerenciadas. Para criar um pool de identidades de cargas de trabalho para identidades
de cargas de trabalho gerenciadas, use o
workload-identity-pools create
comando.
gcloud iam workload-identity-pools create POOL_ID \ --location="global" \ --mode="TRUST_DOMAIN"
Substitua:
POOL_ID
: o ID exclusivo do pool. O ID precisa ter entre 4 e 32 caracteres, incluir apenas caracteres alfanuméricos minúsculos e traços, além de começar e terminar com um caractere alfanumérico. Depois de criar um pool de identidades de cargas de trabalho, não é possível alterar o ID dele.
Para verificar se o pool de identidades de cargas de trabalho foi criado no
modo TRUST_DOMAIN
, use o
workload-identity-pools describe
comando .
gcloud iam workload-identity-pools describe POOL_ID \ --location="global"
A resposta ao comando precisa ser semelhante ao exemplo a seguir:
mode: TRUST_DOMAIN name: projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID state: ACTIVE
Se mode: TRUST_DOMAIN
não estiver presente na resposta ao comando, verifique
se o projeto foi adicionado à lista de permissões da visualização da identidade da carga de trabalho
gerenciada e se você configurou corretamente a gcloud CLI para usar o projeto correto para faturamento e cota. Talvez
seja necessário atualizar para uma versão mais recente da gcloud CLI.
Criar um namespace
O comando workload-identity-pools namespaces create
permite criar um namespace em um pool de identidades de cargas de trabalho.
gcloud iam workload-identity-pools namespaces create NAMESPACE_ID \ --workload-identity-pool="POOL_ID" \ --location="global"
Substitua:
NAMESPACE_ID
: o ID exclusivo do namespace. O ID precisa ter entre 2 e 63 caracteres, conter apenas caracteres alfanuméricos minúsculos e traços, além de começar e terminar com um caractere alfanumérico. Depois de criar um namespace, não será possível alterar o ID dele.POOL_ID
: o ID do pool de Identidade da carga de trabalho que você criou anteriormente.
Criar uma identidade de carga de trabalho gerenciada
O comando workload-identity-pools managed-identities create
permite criar uma identidade de carga de trabalho gerenciada em um pool de identidades de cargas de trabalho.
gcloud iam workload-identity-pools managed-identities create MANAGED_IDENTITY_ID \ --namespace="NAMESPACE_ID" \ --workload-identity-pool="POOL_ID" \ --location="global"
Substitua:
MANAGED_IDENTITY_ID
: o ID exclusivo da identidade gerenciada. O ID precisa ter entre 2 e 63 caracteres, conter apenas caracteres alfanuméricos minúsculos e traços, além de começar e terminar com um caractere alfanumérico. Depois de criar uma identidade de carga de trabalho gerenciada, não é possível alterar o ID dela.NAMESPACE_ID
: o ID do namespace que você criou anteriormente.POOL_ID
: o ID do pool de Identidade da carga de trabalho que você criou anteriormente.
O ID da identidade da carga de trabalho gerenciada é o identificador SPIFFE, que tem o seguinte formato:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
Definir uma política de atestado de carga de trabalho
Esta seção descreve como configurar uma política de atestado. Essa política determina quais atributos são usados pelo IAM do Google Cloud para verificar a identidade da carga de trabalho. Após a verificação, a carga de trabalho de chamada pode receber uma credencial. A verificação é baseada em um dos seguintes atributos da carga de trabalho:
- ID da instância da VM
- Endereço de e-mail da conta de serviço anexada
- UID da conta de serviço anexada
Definir uma política de atestado de carga de trabalho com regras de atestado
Para criar uma política de atestado que permita que sua carga de trabalho use a identidade gerenciada, faça o seguinte:
Decida se você quer criar uma política de atestado que permita que a carga de trabalho ateste a identidade gerenciada usando a conta de serviço anexada ou o ID da instância.
Crie um arquivo de política de atestado no formato JSON.
(Opcional) Para receber credenciais X.509 na sua instância do Compute Engine, ative uma conta de serviço anexada. Recomendamos que você anexe uma nova conta de serviço à sua carga de trabalho primeiro criando-a usando o seguinte comando:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
Substitua
SERVICE_ACCOUNT_NAME
pelo nome da conta de serviço.Crie um arquivo de política de atestado no formato JSON que ateste com base no endereço de e-mail, no UID ou no ID da instância da conta de serviço.
Endereço de e-mail da conta de serviço
Para criar um arquivo de política de atestado com base no endereço de e-mail da conta de serviço, crie um arquivo com o seguinte conteúdo:
{ "attestationRules": [ { "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.email/SERVICE_ACCOUNT_EMAIL" } ], }
Substitua:
WORKLOAD_PROJECT_NUMBER
: o número do projeto que contém a instância de VM ou a conta de serviço
Para saber o número do projeto que contém a identidade gerenciada ou a conta de serviço que você acabou de criar, execute o seguinte comando:
gcloud projects describe $(gcloud config get-value project) \ --format="value(projectNumber)"
SERVICE_ACCOUNT_EMAIL
: o endereço de e-mail da conta de serviço anexada à VM
UID da conta de serviço
Para criar um arquivo de política de atestado com base no UID da conta de serviço, crie um arquivo com o seguinte conteúdo:
{ "attestationRules": [ { "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID" } ], }
Substitua:
WORKLOAD_PROJECT_NUMBER
: o número do projeto que contém a instância de VM ou a conta de serviço
Para conferir o número do projeto que contém a identidade gerenciada ou a conta de serviço que você acabou de criar, execute o seguinte comando:
gcloud projects describe $(gcloud config get-value project) \ --format="value(projectNumber)"
SERVICE_ACCOUNT_UID
: o UID da conta de serviço anexada à VM
ID da instância
Para criar um arquivo de política de atestado com base no ID da instância, crie um arquivo com o seguinte conteúdo:
{ "attestationRules": [ { "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/uid/zones/ZONE/instances/INSTANCE_ID" } ], }
Substitua:
WORKLOAD_PROJECT_NUMBER
: o número do projeto que contém a instância de VM ou a conta de serviço
Para saber o número do projeto que contém a identidade gerenciada ou a conta de serviço que você acabou de criar, execute o seguinte comando:
gcloud projects describe $(gcloud config get-value project) \ --format="value(projectNumber)"
INSTANCE_ID
: o ID da instância de VM do Compute Engine
O valor de um ID de instância precisa vir de uma instância do Compute Engine. Para receber o ID da instância, execute o seguinte comando:
gcloud compute instances describe INSTANCE_NAME --zone=ZONE --format="get(id)"
INSTANCE_NAME
: o nome da instância de VM do Compute EngineZONE
: a zona da VM do Compute Engine
Crie a política de atestado usando o arquivo JSON de política criado anteriormente neste documento:
gcloud iam workload-identity-pools managed-identities set-attestation-rules MANAGED_IDENTITY_ID \ --namespace=NAMESPACE_ID \ --workload-identity-pool=POOL_ID \ --policy-file=PATH_TO_POLICY_JSON_FILE \ --location=global
Substitua:
MANAGED_IDENTITY_ID
: o ID exclusivo da identidade gerenciada. O ID precisa ter entre 2 e 63 caracteres, conter apenas caracteres alfanuméricos minúsculos e traços, além de começar e terminar com um caractere alfanumérico. Depois de criar uma identidade de carga de trabalho gerenciada, não é possível alterar o ID dela.NAMESPACE_ID
: o ID do namespace que você criou anteriormente.POOL_ID
: o ID do pool de Identidade da carga de trabalho que você criou anteriormente.PATH_TO_POLICY_JSON_FILE
: caminho para o arquivo JSON que representa a política de atestado criada anteriormente.
Também é possível atualizar a política adicionando ou removendo regras de atestado individualmente. Para adicionar um atestado à política de atestados, execute o seguinte comando:
gcloud iam workload-identity-pools managed-identities add-attestation-rule MANAGED_IDENTITY_ID \ --namespace=NAMESPACE_ID \ --workload-identity-pool=POOL_ID \ --google-cloud-resource='//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID' \ --location=global
Para saber como listar ou remover as regras de atestado, execute os seguintes comandos:
gcloud iam workload-identity-pools managed-identities list-attestation-rules --help gcloud iam workload-identity-pools managed-identities remove-attestation-rule --help
Configurar o Certificate Authority Service para emitir certificados para identidades de cargas de trabalho gerenciadas
Crie a configuração recomendada para autoridades de certificação (CAs) raiz e subordinadas usando pools do Certificate Authority Service. O pool de CA subordinada emite os certificados de identidade da carga de trabalho X.509 para as VMs.
Depois de configurar os pools de AC, você autoriza as identidades de carga de trabalho gerenciadas a solicitar e receber os certificados assinados dos pools de AC.
Configurar o pool de CAs raiz
Use a interface da CLI do Google Cloud para o Certificate Authority Service e configure um pool de CAs raiz.
gcloud
Crie o pool de ACs raiz.
Crie o pool de CAs raiz no nível Enterprise, que se destina à emissão de certificados de longa duração e baixo volume usando o comando
gcloud privateca pools create
.gcloud privateca pools create ROOT_CA_POOL_ID \ --location=REGION \ --tier=enterprise
Substitua:
- ROOT_CA_POOL_ID: um ID exclusivo para o pool de ACs raiz. O ID pode ter até 64 caracteres e precisa conter apenas caracteres alfanuméricos minúsculos e maiúsculos, sublinhados ou hifens. O ID do pool precisa ser exclusivo na região.
- REGION: a região em que o pool de ACs raiz está localizado.
Para mais informações, consulte Como criar pools de AC.
Crie uma AC raiz no pool de AC raiz usando o comando
gcloud privateca roots create
. Talvez você precise ativar a AC raiz se essa for a única AC no pool de AC raiz.Por exemplo, é possível usar um comando semelhante ao seguinte para criar uma AC raiz.
gcloud privateca roots create ROOT_CA_ID \ --pool=ROOT_CA_POOL_ID \ --subject "CN=ROOT_CA_CN, O=ROOT_CA_ORGANIZATION" \ --key-algorithm="ec-p256-sha256" \ --max-chain-length=1 \ --location=REGION
Substitua:
- ROOT_CA_ID: um nome exclusivo para a CA raiz. O nome da CA pode ter até 64 caracteres e precisa conter apenas caracteres alfanuméricos minúsculos e maiúsculos, sublinhados ou hifens. O nome da AC precisa ser exclusivo na região.
- ROOT_CA_POOL_ID: o ID do pool de ACs raiz.
- ROOT_CA_CN: o nome comum da CA raiz
- ROOT_CA_ORGANIZATION: a organização da CA raiz.
- REGION: a região em que o pool de ACs raiz está localizado.
Para mais informações, consulte Criar uma autoridade certificadora raiz. Para mais informações sobre os campos
subject
da AC, consulte Assunto.Opcional: repita as etapas anteriores para criar outra CA raiz no pool de CAs raiz. Isso pode ser útil para rotação de CA raiz.
Configurar as CAs subordinadas
Use a interface da CLI do Google Cloud para o Certificate Authority Service e criar um pool de CAs subordinados e uma CA subordinada.
Se você tiver vários cenários de emissão de certificados, poderá criar uma CA subordinada para cada um deles. Além disso, adicionar várias ACs subordinadas a um pool de ACs ajuda você a conseguir um melhor balanceamento de carga das solicitações de certificado.
gcloud
Use o comando gcloud privateca pools create
para criar um pool de CAs subordinadas.
Crie o pool de CA subordinada no nível DevOps, que se destina à emissão de certificados de alto volume e curta duração .
gcloud privateca pools create SUBORDINATE_CA_POOL_ID \ --location=REGION \ --tier=devops
Substitua:
- SUBORDINATE_CA_POOL_ID: um ID exclusivo para o pool de ACs subordinadas. O ID pode ter até 64 caracteres e precisa conter apenas caracteres alfanuméricos minúsculos e maiúsculos, sublinhados ou hifens. O ID do pool precisa ser exclusivo na região.
- REGION: a região na qual criar o pool de CAs subordinadas.
Para mais informações, consulte Como criar pools de AC.
Crie uma CA subordinada no pool de CA subordinada usando o comando
gcloud privateca subordinates create
. Não altere o modo de emissão baseado em configuração padrão.Por exemplo, é possível usar um comando semelhante ao seguinte para criar uma CA subordinada.
gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_CA_POOL_ID \ --location=REGION \ --issuer-pool=ROOT_CA_POOL_ID \ --issuer-location=REGION \ --subject="CN=SUBORDINATE_CA_CN, O=SUBORDINATE_CA_ORGANIZATION" \ --key-algorithm="ec-p256-sha256" \ --use-preset-profile=subordinate_mtls_pathlen_0
Substitua:
- SUBORDINATE_CA_ID: um nome exclusivo para a CA subordinada. O nome pode ter até 64 caracteres e precisa conter apenas caracteres alfanuméricos minúsculos e maiúsculos, sublinhados ou hifens. O nome do pool precisa ser exclusivo na região.
- SUBORDINATE_CA_POOL_ID: o nome do pool de ACs subordinadas.
- REGION: a região em que o pool de ACs subordinadas está localizado.
- ROOT_CA_POOL_ID: o ID do pool de ACs raiz.
- REGION: a região do pool de ACs raiz.
- SUBORDINATE_CA_CN: o nome comum da CA subordinada.
- SUBORDINATE_CA_ORGANIZATION: o nome da organização emissora de CA subordinada.
Para mais informações, consulte Como criar pools de AC. Para mais informações sobre os campos
subject
da AC, consulte Assunto.
Autorizar que identidades das cargas de trabalho gerenciadas solicitem certificados do pool de ACs
As identidades de cargas de trabalho gerenciadas exigem permissões para solicitar certificados do serviço de AC e receber os certificados públicos.
gcloud
Conceda o papel do IAM de Solicitante de certificado da carga de trabalho de serviço de CA (
roles/privateca.workloadCertificateRequester
) em cada pool de CA subordinada à identidade da carga de trabalho gerenciada. O comandogcloud privateca pools add-iam-policy-binding
a seguir autoriza a identidade da carga de trabalho gerenciada a solicitar certificados das cadeias de certificados de serviço de CA.gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \ --location=REGION \ --role=roles/privateca.workloadCertificateRequester \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"
Substitua:
- SUBORDINATE_CA_POOL_ID: o ID do pool de AC subordinado.
- REGION: a região do pool de CAs subordinadas
- PROJECT_NUMBER: o número do projeto que contém o pool de identidade da carga de trabalho
- POOL_ID: o ID do pool de identidade da carga de trabalho
Conceda o papel do IAM Leitor do pool de serviços da CA (
roles/privateca.poolReader
) nos pools de CAs subordinadas à identidade da carga de trabalho gerenciada. Isso autoriza a identidade da carga de trabalho gerenciada a receber os certificados X.509 assinados das cadeias de certificados da AC.gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \ --location=REGION \ --role=roles/privateca.poolReader \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"
Substitua:
- SUBORDINATE_CA_POOL_ID: o ID do pool de AC subordinado.
- REGION: a região do pool de CAs subordinadas
- PROJECT_NUMBER: o número do projeto que contém o pool de identidade da carga de trabalho
- POOL_ID: o ID do pool de identidade da carga de trabalho
Definir a configuração de emissão de certificados e confiança
Use essas informações para criar um arquivo JSON que será carregado como dados do parceiro ao criar uma VM.
Definir a configuração de emissão de certificados
A configuração de emissão de certificados a seguir é necessária para ativar identidades de carga de trabalho gerenciadas para o Compute Engine.
{ "primary_certificate_authority_config": { "certificate_authority_config": { "ca_pool": "projects/SUBORDINATE_CA_POOL_PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" } }, "key_algorithm": "ALGORITHM", "workload_certificate_lifetime_seconds": DURATION, "rotation_window_percentage": ROTATION_WINDOW_PERCENTAGE }
Substitua:
- SUBORDINATE_CA_POOL_PROJECT_ID: o ID do projeto que contém o pool de AC subordinada.
- REGION: a região em que o pool de ACs subordinadas está localizado.
- SUBORDINATE_CA_POOL_ID: o nome do pool de CA subordinada
- ALGORITHM: o algoritmo de criptografia usado para gerar a
chave privada. Os valores válidos são
rsa-2048
(padrão),rsa-3072
,rsa-4096
,ecdsa-p256
eecdsa-p384
. - DURATION: opcional: a duração da validade do certificado de folha, em segundos. O valor precisa estar entre 3600 e 315360000. Se não for especificado, o valor padrão de 86400 será usado. A validade real do certificado emitido também depende da CA emissora, porque isso pode restringir a vida útil do certificado emitido.
- ROTATION_WINDOW_PERCENTAGE (opcional): a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O valor precisa estar entre 1 e 100. O valor padrão é 66%. Você precisa definir a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.
Definir a configuração de confiança
A configuração de confiança contém o conjunto de âncoras de confiança para validar certificados de peering. Isso inclui o seguinte:
- URIs de recursos de pool de CAs confiáveis: um conjunto de URIs de recursos de pool de CAs confiáveis para emitir certificados no mesmo domínio de confiança a que as VMs pertencem.
- Certificados de CA formatados em PEM: um conjunto de certificados de CA no formato PEM confiáveis para emitir certificados no mesmo domínio de confiança a que as VMs pertencem.
{ "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": { "trust_anchors": [ { "ca_pool": "projects/SUBORDINATE_CA_POOL_PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" }, { "pem_certificate": "PEM_ENCODED_CERTIFICATE" } ] } }
Substitua:
- POOL_ID: o ID do pool de identidade da carga de trabalho
- PROJECT_NUMBER: o número do projeto que contém o pool de identidade da carga de trabalho
- SUBORDINATE_CA_POOL_PROJECT_ID: o ID do projeto que contém o pool de AC subordinada.
- REGION: a região onde o pool de CAs subordinadas está localizado
- SUBORDINATE_CA_POOL_ID: o ID do pool de CA subordinada
PEM_ENCODED_CERTIFICATE (opcional): um conjunto de certificados de CA no formato PEM adicionais que são confiáveis para emitir certificados no mesmo domínio de confiança a que as VMs pertencem. Esses certificados serão adicionados à lista de pontos de extremidade de confiança do pool de ACs subordinados. O comando a seguir pode ser usado para codificar um arquivo
trust-anchor.pem
formatado em PEM em uma string de uma linha:cat trust-anchor.pem | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g'
Criar um arquivo de configuração para fazer upload dos metadados do parceiro em uma VM
Crie um arquivo JSON que contenha o seguinte:
- A configuração da identidade da carga de trabalho
- Consulte as informações em Definir a configuração de emissão de certificados.
- As informações em Definir a configuração de confiança
Salve este arquivo como CONFIGS.json
. Esse arquivo é usado na criação de VMs para
executar aplicativos que usam identidades de carga de trabalho gerenciadas.
O arquivo CONFIGS.json
será semelhante ao seguinte:
{ "wc.compute.googleapis.com": { "entries": { "certificate-issuance-config": { "primary_certificate_authority_config": { "certificate_authority_config": { "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" } }, "key_algorithm": "ALGORITHM" }, "trust-config": { "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": { "trust_anchors": [{ "ca_pool": "projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID" }] } } } }, "iam.googleapis.com": { "entries": { "workload-identity": "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID" } } }
A seguir
- Configure a carga de trabalho para a autenticação da carga de trabalho usando mTLS.
- Saiba como criar pools de CAs
Faça um teste
Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Comece a usar gratuitamente