Gestion des identités pour Google Cloud

Pour utiliser Google Cloud, les utilisateurs et les charges de travail ont besoin d'une identité que Google Cloud peut reconnaître.

Cette page décrit les méthodes que vous pouvez utiliser pour configurer les identités des utilisateurs et des charges de travail.

Identités des utilisateurs

Il existe plusieurs façons de configurer les identités des utilisateurs afin que Google Cloud puisse les reconnaître :

Créer des comptes Cloud Identity ou Google Workspace : les utilisateurs disposant de comptes Cloud Identity ou Google Workspace peuvent s'authentifier auprès de Google Cloud et être autorisés à utiliser les ressources Google Cloud. Les comptes Cloud Identity et Google Workspace sont des comptes utilisateur gérés par votre organisation.
Configurer l'une des stratégies d'identité fédérée suivantes :
- Fédération à l'aide de Cloud Identity ou Google Workspace : synchronise les identités externes avec les comptes Cloud Identity ou Google Workspace correspondants afin que les utilisateurs puissent se connecter aux services Google avec leurs identifiants externes. Avec cette méthode, les utilisateurs ont besoin de deux comptes : un compte externe et un compte Cloud Identity ou Google Workspace. Vous pouvez maintenir ces comptes synchronisés à l'aide d'un outil tel que Google Cloud Directory Sync (GCDS).
- Fédération d'identité de personnel : Utilise un fournisseur d'identité externe (IdP) pour authentifier et autoriser vos utilisateurs, ce qui leur permet de se connecter à Google Cloud et d'accéder aux ressources et produits Google avec leurs identifiants externes. Avec la fédération d'identité de personnel, les utilisateurs n'ont besoin que d'un seul compte : leur compte externe.

Pour en savoir plus sur ces méthodes de configuration des identités des utilisateurs, consultez la Présentation des identités des utilisateurs.

Identités des charges de travail

Google Cloud fournit des comptes de service qui agissent en tant qu'identités pour les charges de travail. Au lieu d'accorder directement l'accès à une charge de travail, vous accordez l'accès à un compte de service, puis autorisez la charge de travail à utiliser le compte de service comme identité.

Il existe plusieurs façons de permettre à une charge de travail d'utiliser un compte de service comme identité. La méthode à utiliser dépend de l'emplacement d'exécution de vos charges de travail.

Si vous exécutez des charges de travail sur Google Cloud, vous pouvez utiliser les méthodes suivantes pour configurer les identités de charge de travail :

Comptes de service associés : associez un compte de service à une ressource afin que le compte de service agisse comme identité par défaut de la ressource. Toutes les charges de travail exécutées sur la ressource utilisent l'identité du compte de service pour accéder aux services Google Cloud.
Identifiants de compte de service éphémères : générez et utilisez des identifiants de compte de service éphémères à chaque fois que vos ressources doivent accéder aux services Google Cloud. Les types d'identifiants les plus courants sont les jetons d'accès OAuth 2.0 et les jetons d'identification OpenID Connect (OIDC).
Google Kubernetes Engine Workload Identity : autorisez votre compte de service GKE à agir en tant que compte de service IAM lors de l'accès aux ressources Google Cloud. Ce type d'identité ne s'applique qu'aux charges de travail Google Kubernetes Engine.

Si vous exécutez des charges de travail en dehors de Google Cloud, vous pouvez utiliser les méthodes suivantes pour configurer les identités de charge de travail :

Fédération d'identité de charge de travail : utilisez des identifiants de fournisseurs d'identité externes pour générer des identifiants éphémères, qui permettent aux charges de travail d'emprunter temporairement l'identité des comptes de service. Les charges de travail peuvent ensuite accéder aux ressources Google Cloud en utilisant le compte de service comme identité.
Clés de compte de service : utilisez la partie privée de la paire de clés RSA publique/privée d'un compte de service pour vous authentifier en tant que compte de service.

Remarque : Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites sur la page Bonnes pratiques pour gérer les clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, il se peut que la création de clés de compte de service soit désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.

Pour en savoir plus sur ces méthodes de configuration des identités de charge de travail, consultez la Présentation des identités de charge de travail.