Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione delle identità per Google Cloud

Per utilizzare Google Cloud, utenti e carichi di lavoro hanno bisogno di un'identità Google Cloud è in grado di riconoscere.

Questa pagina illustra i metodi che puoi utilizzare per configurare le identità per gli utenti e i carichi di lavoro.

Identità utente

Esistono diversi modi per configurare le identità utente in modo che Google Cloud è in grado di riconoscerli:

Crea account Cloud Identity o Google Workspace: gli utenti con account Cloud Identity o Google Workspace possono autenticarsi su Google Cloud ed essere autorizzati a utilizzare le risorse Google Cloud. Gli account Cloud Identity e Google Workspace sono account utente gestiti dalla tua organizzazione.

Configura una delle seguenti strategie per l'identità federata:
- Federazione utilizzando Cloud Identity o Google Workspace: Sincronizzare le identità esterne con le corrispondenti Cloud Identity Account Google Workspace per consentire agli utenti di accedere a Google con le loro credenziali esterne. Con questo metodo, gli utenti devono un account: un account esterno e un account Cloud Identity Account Google Workspace. Puoi mantenere sincronizzati questi account utilizzando uno strumento come Google Cloud Directory Sync (GCDS).
- Federazione delle identità della forza lavoro: utilizza il tuo provider di identità (IdP) esterno per far accedere gli utenti a Google Cloud e consentire loro di accedere ai prodotti e alle risorse Google Cloud. Con la federazione delle identità per la forza lavoro, gli utenti hanno bisogno di un solo account: il loro account esterno. Questo tipo di identità utente è a volte definito identità federata.

Per scoprire di più su questi metodi per configurare le identità utente, consulta la Panoramica delle identità utente.

Google Cloud fornisce i seguenti tipi di servizi di identità per i carichi di lavoro:

La federazione delle identità per i carichi di lavoro consente ai carichi di lavoro di accedere alla maggior parte dei servizi Google Cloud utilizzando un'identità fornita da un IdP. I carichi di lavoro che utilizzano la federazione Workload Identity possono essere eseguiti su Google Cloud, Google Kubernetes Engine (GKE) o altre piattaforme, come AWS, Azure e GitHub.
Gli account di servizio Google Cloud possono agire per i carichi di lavoro. Invece di concedere l'accesso direttamente a un carico di lavoro, concedi l'accesso a un account di servizio e poi lascia che il carico di lavoro utilizzi l'account di servizio come identità.
Le identità di carico di lavoro gestite (anteprima) ti consentono di associare identità fortemente attestate ai carichi di lavoro Compute Engine. Puoi utilizzare le identità dei carichi di lavoro gestiti per autenticare carichi di lavoro ad altri carichi di lavoro utilizzando TLS (mTLS) reciproco, ma non possono essere utilizzati per l'autenticazione nelle API Google Cloud.

I metodi che puoi utilizzare dipendono da dove sono in esecuzione i carichi di lavoro.

Se esegui carichi di lavoro su Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità di carico di lavoro:

Federazione delle identità per i carichi di lavoro per GKE: concedi l'accesso IAM a cluster GKE e account di servizio Kubernetes. In questo modo cluster carichi di lavoro accedono direttamente alla maggior parte dei servizi Google Cloud, utilizzando la simulazione dell'identità degli account di servizio IAM.
Account di servizio collegati: collega un account di servizio a una risorsa in modo da l'account di servizio funge da identità predefinita della risorsa. Tutti i carichi di lavoro eseguiti sulla risorsa utilizzano l'identità dell'account di servizio per accedere ai servizi Google Cloud.
Credenziali dell'account di servizio di breve durata: genera e utilizza credenziali di breve durata. le credenziali dell'account di servizio ogni volta che le risorse devono accedere servizi Google Cloud. I tipi di credenziali più comuni sono i token di accesso OAuth 2.0 e i token ID OpenID Connect (OIDC).

Se esegui carichi di lavoro all'esterno di Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità di carico di lavoro:

Federazione delle identità per i carichi di lavoro: utilizza le credenziali di fornitori di identità esterni per generare credenziali di breve durata, che i carichi di lavoro possono utilizzare per impersonare temporaneamente gli account di servizio. I carichi di lavoro possono quindi accedere alle risorse Google Cloud utilizzando l'account di servizio come identità.
Chiavi dell'account di servizio: utilizzano la parte privata dell'account di servizio una coppia di chiave RSA pubblica/privata per autenticarsi come account di servizio.

Importante: Se non vengono gestite correttamente, le chiavi degli account di servizio comportano un rischio per la sicurezza. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi effettuare l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte dalle best practice per la gestione delle chiavi degli account di servizio. Se non è possibile creare una chiave dell'account di servizio, è possibile disattivato per la tua organizzazione. Per ulteriori informazioni, vedi Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Per saperne di più su questi metodi per la configurazione delle identità dei carichi di lavoro, consulta Panoramica delle identità di carico di lavoro.