要使用 Google Cloud,用户和工作负载需要具有 Google Cloud 可识别的身份。
本页概述了您可以使用的方法来为用户和工作负载配置身份。
用户身份
您可以通过以下几种方式配置用户身份,以便 Google Cloud 能够识别这些身份:
- 创建 Cloud Identity 或 Google Workspace 账号:拥有 Cloud Identity 或 Google Workspace 账号的用户可以向 Google Cloud 进行身份验证,并获得使用 Google Cloud 资源的授权。Cloud Identity 和 Google Workspace 账号是指由贵组织管理的用户账号。
设置以下联合身份策略之一:
- 使用 Cloud Identity 或 Google Workspace 进行联合:将外部身份与相应的 Cloud Identity 或 Google Workspace 账号同步,以便用户可以使用其外部凭据登录 Google 服务。使用此方法时,用户需要两个账号:一个外部账号和一个 Cloud Identity 或 Google Workspace 账号。您可以使用 Google Cloud Directory Sync (GCDS) 等工具保持这些账号的同步。
- 员工身份联合:使用外部身份提供方 (IdP) 让用户登录 Google Cloud,并允许他们访问 Google Cloud 资源和产品。使用员工身份联合时,用户只需要一个账号:其外部账号。此类用户身份有时也称为联合身份。
如需详细了解上述用于设置用户身份的方法,请参阅用户身份概览。
工作负载身份
Google Cloud 为工作负载提供以下类型的身份服务:
借助 Workload Identity 联合身份验证,您的工作负载可以使用 IdP 提供的身份来访问大多数 Google Cloud 服务。使用 Workload Identity 联盟的工作负载可以在 Google Cloud、Google Kubernetes Engine (GKE) 或其他平台(例如 AWS、Azure 和 GitHub)上运行。
Google Cloud 服务账号可以充当工作负载的身份。您需要为服务账号授予访问权限,然后让工作负载使用该服务账号作为其身份,而不是直接授予对工作负载的访问权限。
通过托管式工作负载身份(预览版),您可以将经过严格证明的身份绑定到 Compute Engine 工作负载。您可以使用托管式工作负载身份通过 双向 TLS (mTLS) 向其他工作负载验证您的工作负载,但不能用于向 Google Cloud API 进行身份验证。
您可以使用的方法取决于工作负载的运行位置。
如果您是在 Google Cloud 上运行工作负载,则可以使用以下方法配置工作负载配置身份:
适用于 GKE 的工作负载身份联合:授予对 GKE 集群和 Kubernetes 服务账号的 IAM 访问权限。这样一来,集群的工作负载便可直接访问大多数 Google Cloud 服务,而无需使用 IAM 服务账号模拟。
关联的服务账号:将服务账号关联到资源,使服务账号充当该资源的默认身份。资源上运行的任何工作负载在访问 Google Cloud 服务时都会使用服务账号的身份。
短期有效的服务账号凭据:每当您的资源需要访问 Google Cloud 服务时,都生成并使用短期有效的服务账号凭据。最常见的凭据类型是 OAuth 2.0 访问令牌和 OpenID Connect (OIDC) ID 令牌。
如果您是在 Google Cloud 之外运行工作负载,则可以使用以下方法来配置工作负载身份:
- 工作负载身份联合:使用来自外部身份提供方的凭据生成短期有效的凭据,工作负载可以使用这些凭据来临时模拟服务账号。然后,工作负载可以使用相应的服务账号作为其身份来访问 Google Cloud 资源。
服务账号密钥:使用服务账号公钥/私钥 RSA 密钥对的私钥部分,以服务账号身份进行身份验证。
如需详细了解用于设置工作负载身份的这些方法,请参阅工作负载身份概览。