Identitätsverwaltung für Google Cloud

Um Google Cloud verwenden zu können, benötigen Nutzer und Arbeitslasten eine Identität, die Google Cloud erkennen kann.

Auf dieser Seite werden die Methoden beschrieben, mit denen Sie Identitäten für Nutzer und Arbeitslasten konfigurieren können.

Nutzer-IDs

Es gibt mehrere Möglichkeiten, Nutzeridentitäten zu konfigurieren, damit Google Cloud sie erkennen kann:

  • Cloud Identity- oder Google Workspace-Konten erstellen: Nutzer mit Cloud Identity- oder Google Workspace-Konten können sich bei Google Cloud authentifizieren und zur Verwendung von Google Cloud-Ressourcen autorisiert sein. Cloud Identity- und Google Workspace-Konten sind Nutzerkonten, die von Ihrer Organisation verwaltet werden.
  • Richten Sie eine der folgenden Strategien für föderierte Identitäten ein:
    • Föderation mit Cloud Identity oder Google Workspace: Synchronisieren Sie externe Identitäten mit entsprechenden Cloud Identity- oder Google Workspace-Konten, damit sich Nutzer mit ihren externen Anmeldedaten bei Google-Diensten anmelden können. Bei dieser Methode benötigen Nutzer zwei Konten: ein externes Konto und ein Cloud Identity- oder Google Workspace-Konto. Sie können diese Konten mithilfe eines Tools wie Google Cloud Directory Sync (GCDS) synchronisieren.
    • Workforce Identity-Föderation: Verwenden Sie zur Authentifizierung und Autorisierung Ihrer Nutzer einen externen Identitätsanbieter (Identity Provider, IdP). Dadurch können sich Nutzer bei Google Cloud anmelden und mit ihren externen Anmeldedaten auf Google-Ressourcen und Produkte zugreifen. Bei der Workforce Identity-Föderation benötigen Nutzer nur ein Konto: ihr externes Konto.

Weitere Informationen zu diesen Methoden zum Einrichten von Nutzeridentitäten finden Sie unter Übersicht über Nutzeridentitäten.

Workload Identitys

Google Cloud stellt Dienstkonten bereit, die als Identitäten für Arbeitslasten fungieren. Anstatt direkt auf eine Arbeitslast Zugriff zu erteilen, gewähren Sie einen Zugriff auf ein Dienstkonto und lassen die Arbeitslast dann das Dienstkonto als Identität verwenden.

Es gibt verschiedene Möglichkeiten, einer Arbeitslast die Verwendung eines Dienstkontos als Identität zu gestatten. Welche Methode Sie verwenden können, hängt davon ab, wo Ihre Arbeitslasten ausgeführt werden.

Wenn Sie Arbeitslasten in Google Cloud ausführen, können Sie Workload Identitys mit den folgenden Methoden konfigurieren:

  • Angehängte Dienstkonten: Hängen Sie ein Dienstkonto an eine Ressource an, damit das Dienstkonto als Standardidentität der Ressource fungiert. Alle auf der Ressource ausgeführten Arbeitslasten verwenden beim Zugriff auf Google Cloud-Dienste die Identität des Dienstkontos.
  • Kurzlebige Anmeldedaten für Dienstkonten: Generieren und verwenden Sie kurzlebige Anmeldedaten für Dienstkonten, wenn Ihre Ressourcen auf Google Cloud-Dienste zugreifen müssen. Die gängigsten Arten von Anmeldedaten sind OAuth 2.0-Zugriffstokens und OIDC-ID-Tokens (OpenID Connect).
  • Google Kubernetes Engine-Workload Identity: Ihrem GKE-Dienstkonto erlauben, beim Zugriff auf Google Cloud-Ressourcen als IAM-Dienstkonto zu fungieren. Diese Art der Identität gilt nur für Google Kubernetes Engine-Arbeitslasten.

Wenn Sie Arbeitslasten außerhalb von Google Cloud ausführen, können Sie Workload Identitys mit den folgenden Methoden konfigurieren:

  • Workload Identity-Föderation: Verwenden Sie Anmeldedaten von externen Identitätsanbietern, um kurzlebige Anmeldedaten zu generieren, mit denen Arbeitslasten vorübergehend die Identität von Dienstkonten übernehmen können. Arbeitslasten können dann über das Dienstkonto als Identität auf Google Cloud-Ressourcen zugreifen.
  • Dienstkontoschlüssel: Verwenden Sie den privaten Teil des öffentlichen/privaten RSA-Schlüsselpaars eines Dienstkontos, um sich als Dienstkonto zu authentifizieren.

Weitere Informationen zu diesen Methoden zum Einrichten von Workload Identitys finden Sie unter Workload Identity-Übersicht.