适用于 Google Cloud 的身份管理

要使用 Google Cloud,用户和工作负载需要具有 Google Cloud 可识别的身份。

本页概述了您可以使用的方法来为用户和工作负载配置身份。

用户身份

您可以通过以下几种方式配置用户身份,以便 Google Cloud 能够识别这些身份:

  • 创建 Cloud Identity 或 Google Workspace 账号:拥有 Cloud Identity 或 Google Workspace 账号的用户可以向 Google Cloud 进行身份验证,并获得使用 Google Cloud 资源的授权。Cloud Identity 和 Google Workspace 账号是指由贵组织管理的用户账号。
  • 设置以下联合身份策略之一

    • 使用 Cloud Identity 或 Google Workspace 进行联合:将外部身份与相应的 Cloud Identity 或 Google Workspace 账号同步,以便用户可以使用其外部凭据登录 Google 服务。使用此方法时,用户需要两个账号:一个外部账号和一个 Cloud Identity 或 Google Workspace 账号。您可以使用 Google Cloud Directory Sync (GCDS) 等工具保持这些账号的同步。
    • 员工身份联合:使用外部身份提供方 (IdP) 让用户登录 Google Cloud,并允许他们访问 Google Cloud 资源和产品。使用员工身份联合时,用户只需要一个账号:其外部账号。此类用户身份有时也称为联合身份

如需详细了解上述用于设置用户身份的方法,请参阅用户身份概览

工作负载身份

Google Cloud 为工作负载提供以下类型的身份服务:

  • 借助 Workload Identity 联合身份验证,您的工作负载可以使用 IdP 提供的身份来访问大多数 Google Cloud 服务。使用 Workload Identity 联盟的工作负载可以在 Google Cloud、Google Kubernetes Engine (GKE) 或其他平台(例如 AWS、Azure 和 GitHub)上运行。

  • Google Cloud 服务账号可以充当工作负载的身份。您需要为服务账号授予访问权限,然后让工作负载使用该服务账号作为其身份,而不是直接授予对工作负载的访问权限。

  • 通过托管式工作负载身份(预览版),您可以将经过严格证明的身份绑定到 Compute Engine 工作负载。您可以使用托管式工作负载身份通过 双向 TLS (mTLS) 向其他工作负载验证您的工作负载,但不能用于向 Google Cloud API 进行身份验证。

您可以使用的方法取决于工作负载的运行位置。

如果您是在 Google Cloud 上运行工作负载,则可以使用以下方法配置工作负载配置身份:

  • 适用于 GKE 的工作负载身份联合:授予对 GKE 集群和 Kubernetes 服务账号的 IAM 访问权限。这样一来,集群的工作负载便可直接访问大多数 Google Cloud 服务,而无需使用 IAM 服务账号模拟。

  • 关联的服务账号:将服务账号关联到资源,使服务账号充当该资源的默认身份。资源上运行的任何工作负载在访问 Google Cloud 服务时都会使用服务账号的身份。

  • 短期有效的服务账号凭据:每当您的资源需要访问 Google Cloud 服务时,都生成并使用短期有效的服务账号凭据。最常见的凭据类型是 OAuth 2.0 访问令牌和 OpenID Connect (OIDC) ID 令牌。

如果您是在 Google Cloud 之外运行工作负载,则可以使用以下方法来配置工作负载身份:

  • 工作负载身份联合:使用来自外部身份提供方的凭据生成短期有效的凭据,工作负载可以使用这些凭据来临时模拟服务账号。然后,工作负载可以使用相应的服务账号作为其身份来访问 Google Cloud 资源。
  • 服务账号密钥:使用服务账号公钥/私钥 RSA 密钥对的私钥部分,以服务账号身份进行身份验证。

如需详细了解用于设置工作负载身份的这些方法,请参阅工作负载身份概览