Halaman ini diterjemahkan oleh Cloud Translation API.

Pengelolaan identitas untuk Google Cloud

Untuk menggunakan Google Cloud, pengguna dan beban kerja memerlukan identitas yang dapat dikenali Google Cloud.

Halaman ini menguraikan metode yang dapat Anda gunakan untuk mengonfigurasi identitas bagi pengguna dan beban kerja.

Indentitas Pengguna

Ada beberapa cara untuk mengonfigurasi identitas pengguna agar Google Cloud dapat mengenalinya:

Membuat akun Cloud Identity atau Google Workspace: Pengguna dengan akun Cloud Identity atau Google Workspace dapat melakukan autentikasi ke Google Cloud dan diizinkan untuk menggunakan resource Google Cloud. Akun Cloud Identity dan Google Workspace adalah akun pengguna yang dikelola oleh organisasi Anda.

Siapkan salah satu strategi identitas gabungan berikut:
- Federasi menggunakan Cloud Identity atau Google Workspace: Menyinkronkan identitas eksternal dengan akun Cloud Identity atau Google Workspace yang sesuai sehingga pengguna dapat login ke layanan Google dengan kredensial eksternal mereka. Dengan metode ini, pengguna memerlukan dua akun: akun eksternal, dan akun Cloud Identity atau Google Workspace. Anda dapat terus menyinkronkan akun ini menggunakan alat seperti Google Cloud Directory Sync (GCDS).
- Workforce Identity Federation: Menggunakan penyedia identitas (IdP) eksternal untuk membuat pengguna login ke Google Cloud dan mengizinkan mereka mengakses resource dan produk Google Cloud. Dengan Penggabungan Identitas Tenaga Kerja, pengguna hanya memerlukan satu akun: akun eksternal mereka. Jenis identitas pengguna ini terkadang disebut sebagai identitas gabungan.

Untuk mempelajari lebih lanjut metode ini untuk menyiapkan identitas pengguna, lihat Ringkasan identitas pengguna.

Google Cloud menyediakan jenis layanan identitas berikut untuk beban kerja:

Workload Identity Federation memungkinkan beban kerja Anda mengakses sebagian besar layanan Google Cloud menggunakan identitas yang disediakan oleh IdP. Workload yang menggunakan Workload Identity Federation dapat berjalan di Google Cloud, Google Kubernetes Engine (GKE), atau platform lainnya, seperti AWS, Azure, dan GitHub.
Akun layanan Google Cloud dapat bertindak sebagai identitas untuk beban kerja. Alih-alih memberikan akses ke beban kerja secara langsung, Anda memberikan akses ke akun layanan, lalu membiarkan beban kerja menggunakan akun layanan sebagai identitasnya.
Workload Identity terkelola (Pratinjau) memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke beban kerja Compute Engine. Anda dapat menggunakan identitas workload terkelola untuk mengautentikasi workload ke workload lain menggunakan mutual TLS (mTLS), tetapi tidak dapat digunakan untuk mengautentikasi ke Google Cloud API.

Metode yang dapat Anda gunakan bergantung pada lokasi workload Anda berjalan.

Jika menjalankan beban kerja di Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:

Workload Identity Federation for GKE: Memberikan akses IAM ke cluster GKE dan akun layanan Kubernetes. Tindakan ini memungkinkan beban kerja cluster mengakses sebagian besar layanan Google Cloud secara langsung, tanpa menggunakan peniruan identitas akun layanan IAM.
Akun layanan terpasang: Menambahkan akun layanan ke resource sehingga akun layanan bertindak sebagai identitas default resource. Setiap beban kerja yang dijalankan pada resource menggunakan identitas akun layanan saat mengakses layanan Google Cloud.
Kredensial akun layanan berjangka pendek: Buat dan gunakan kredensial akun layanan berjangka pendek setiap kali resource Anda perlu mengakses layanan Google Cloud. Jenis kredensial yang paling umum adalah token akses OAuth 2.0 dan token ID OpenID Connect (OIDC).

Jika menjalankan beban kerja di luar Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:

Workload Identity Federation: Gunakan kredensial dari penyedia identitas eksternal untuk menghasilkan kredensial berumur pendek, yang dapat digunakan beban kerja untuk meniru akun layanan sementara. Selanjutnya, beban kerja dapat mengakses resource Google Cloud, menggunakan akun layanan sebagai identitas mereka.
Kunci akun layanan: Menggunakan bagian pribadi dari pasangan kunci RSA publik/pribadi akun layanan untuk mengautentikasi sebagai akun layanan.

Penting: Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus mengautentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan atas operasi lainnya yang dijelaskan oleh Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.

Untuk mempelajari lebih lanjut metode penyiapan identitas beban kerja, lihat Ringkasan identitas beban kerja.