Workload Identity-Pools und -Poolanbieter verwalten

Auf dieser Seite wird erläutert, wie Sie Ihre vorhandenen Workload Identity-Pools und deren Identitätsanbieter verwalten.

Sie können Pools und Anbieter mit der Google Cloud Console, der Google Cloud CLI oder der REST API verwalten.

Vorbereitung

Erstellen Sie einen Workload Identity-Pool. Informationen zur Vorgehensweise finden Sie auf den folgenden Seiten:

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die benötigten Berechtigungen zum Verwalten von Workload Identity-Pools und Anbietern zu erhalten:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Workload Identity-Pools und Anbietern erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Verwalten von Workload Identity-Pools und -Anbietern erforderlich:

  • So rufen Sie Workload Identity-Pools und -Anbieter auf:
    • iam.googleapis.com/workloadIdentityPoolProviders.get
    • iam.googleapis.com/workloadIdentityPoolProviders.list
    • iam.googleapis.com/workloadIdentityPools.get
    • iam.googleapis.com/workloadIdentityPools.list
  • So erstellen, aktualisieren und löschen Sie Pools und Anbieter:
    • iam.googleapis.com/workloadIdentityPoolProviders.create
    • iam.googleapis.com/workloadIdentityPoolProviders.delete
    • iam.googleapis.com/workloadIdentityPoolProviders.undelete
    • iam.googleapis.com/workloadIdentityPoolProviders.update
    • iam.googleapis.com/workloadIdentityPools.create
    • iam.googleapis.com/workloadIdentityPools.delete
    • iam.googleapis.com/workloadIdentityPools.undelete
    • iam.googleapis.com/workloadIdentityPools.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Workload Identity-Pools verwalten

In diesem Abschnitt wird gezeigt, wie Sie Workload Identity-Pools verwalten.

Pools erstellen

So erstellen Sie Workload Identity-Pools in einem Projekt:

Console

Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

Zu Workload Identity-Pools

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools create aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.create() auf.

Pools auflisten

So listen Sie alle Workload Identity-Pools in einem Projekt auf:

Console

Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

Zu Workload Identity-Pools

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools list aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.list() auf.

Pool aufrufen

So rufen Sie Details zu einem bestimmten Workload Identity-Pool auf:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie nach dem Workload Identity-Pool, den Sie ansehen möchten, und klicken Sie auf das -Symbol Bearbeiten. Die Google Cloud Console zeigt Details zum Workload Identity-Pool an.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools describe aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.get() auf.

Pool aktualisieren

Sie können einen Workload Identity-Pool aktivieren oder deaktivieren. Sie können auch den Anzeigenamen oder die Beschreibung ändern.

So aktualisieren Sie einen vorhandenen Workload Identity-Pool:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie nach dem Workload Identity-Poolanbieter, den Sie bearbeiten möchten, und klicken Sie auf das -Symbol Bearbeiten.

    Klicken Sie zum Deaktivieren oder Aktivieren des Workload Identity-Pools auf den Schalter Status und dann auf Deaktivieren oder Aktivieren.

    Klicken Sie zum Bearbeiten des angezeigten Namens daneben auf  Bearbeiten. Aktualisieren Sie den Namen und klicken Sie dann auf Speichern.

    Verwenden Sie zum Bearbeiten der Beschreibung die gcloud CLI oder die REST API.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools update aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.patch() auf.

Pool löschen

Wenn Sie einen Workload Identity-Pool löschen, werden auch die Anbieter des Workload Identity-Pools gelöscht. Dadurch verlieren die Identitäten im Pool den Zugriff auf Google Cloud-Ressourcen.

Sie können einen Pool bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Pool endgültig gelöscht. Erst nachdem ein Pool endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Workload Identity-Pools wiederverwenden.

So löschen Sie einen Workload Identity-Pool und die zugehörigen Identitätsanbieter:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie den Workload Identity-Pool, den Sie löschen möchten, und klicken Sie auf das -Symbol Bearbeiten.

  3. Klicken Sie auf Pool löschen und dann auf Löschen. Der Workload Identity-Pool und seine Identitätsanbieter werden gelöscht.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools delete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.delete() auf.

Pool wiederherstellen

Sie können einen gelöschten Workload Identity-Pool bis zu 30 Tage nach dem Löschen wiederherstellen.

So stellen Sie einen Pool wieder her:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Klicken Sie auf den Schalter Gelöschte Pools und Anbieter anzeigen.

  3. Suchen Sie den Workload Identity-Pool, den Sie wiederherstellen möchten, und klicken Sie dann auf das -Symbol Wiederherstellen.

  4. Klicken Sie auf Wiederherstellen. Der Pool und seine Anbieter werden wiederhergestellt.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools undelete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.undelete() auf.

Workload Identity-Pool-Anbieter verwalten

In diesem Abschnitt wird gezeigt, wie Sie Workload Identity-Pool-Anbieter verwalten.

Anbieter erstellen

So erstellen einen Workload Identity-Anbieter in einem bestehenden Workload Identity-Pool:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie den Workload Identity-Pool, dem Sie einen Anbieter hinzufügen möchten, und klicken Sie dann auf das Symbol Bearbeiten.

  3. Klicken Sie auf Anbieter hinzufügen.

  4. Wählen Sie den Anbietertyp aus, der erstellt werden soll:

    • AWS: Ein AWS-Identitätsanbieter (Amazon Web Services).
    • OpenID Connect (OIDC): Ein OIDC-kompatibler Identitätsanbieter. Dies schließt Microsoft Azure ein.
  5. Geben Sie einen Namen für den Anbieter ein.

    Die Google Cloud Console verwendet den Namen zum Erstellen einer Anbieter-ID: Klicken Sie zum Ändern der Anbieter-ID auf Bearbeiten. Sie können die Anbieter-ID später nicht mehr ändern.

  6. Füllen Sie die übrigen Felder für Ihren Anbieter aus:

    • AWS: Geben Sie Ihre AWS-Konto-ID ein.
    • OIDC: Geben Sie die Aussteller-URL ein. Bei Azure verwendet die Aussteller-URL das Format https://sts.windows.net/AZURE_TENANT_ID. Informationen zu anderen Anbietern erhalten Sie in der deren Dokumentation.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  7. Klicken Sie zum Konfigurieren der Attributzuordnung auf Zuordnung bearbeiten. Mithilfe der Attributzuordnung können Sie Informationen zu externen Identitäten verwenden, um einer Teilmenge dieser Identitäten Zugriff zu gewähren.

  8. Optional: Wenn Sie eine Attributbedingung angeben möchten, mit der die authentifizierenden Identitäten angegeben werden, klicken Sie auf Bedingung hinzufügen und geben Sie einen gültigen CEL-Ausdruck (Common Expression Language) ein. Weitere Informationen finden Sie unter Attributbedingungen.

  9. Klicken Sie auf Speichern. Der Workload Identity-Poolanbieter wird erstellt.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers create-aws aus, um einen AWS-Anbieter zu erstellen.

Führen Sie den Befehl gcloud iam workload-identity-pools providers create-oidc aus, um einen OIDC-Anbieter zu erstellen. Dies schließt Microsoft Azure ein.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.create() auf.

Dienstanbieter auflisten

So listen Sie die Anbieter der Workload Identity-Pools in einem Projekt auf:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Klicken Sie zum Anzeigen der Anbieter für einen Workload Identity-Pool auf das Symbol Knoten für den Pool erweitern.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers list aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.list() auf.

Dienstanbieter aufrufen

So rufen Sie Details zu einem bestimmten Workload Identity-Pool-Anbieter auf:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie nach dem Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das Symbol Knoten für den Pool maximieren.

  3. Suchen Sie nach dem Workload Identity-Poolanbieter, den Sie sich ansehen möchten, und klicken Sie auf das Symbol Bearbeiten. Die Google Cloud Console zeigt detaillierte Informationen zum Anbieter an.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers describe aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.get() auf.

Anbieter aktualisieren

Sie können einen Workload Identity-Poolanbieter aktivieren oder deaktivieren. Sie können auch die Kontoinformationen und die Attributzuordnung sowie den Anzeigenamen und die Beschreibung aktualisieren.

So aktualisieren Sie einen vorhandenen Workload Identity-Pool-Anbieter:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie nach dem Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das Symbol Knoten für den Pool maximieren.

  3. Suchen Sie nach dem Workload Identity-Poolanbieter, den Sie bearbeiten möchten, und klicken Sie auf das -Symbol Bearbeiten.

  4. Bearbeiten Sie die Informationen des Anbieters und klicken Sie dann auf Speichern.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers update-aws aus, um einen AWS-Anbieter zu aktualisieren.

Führen Sie den Befehl gcloud iam workload-identity-pools providers update-oidc aus, um einen OIDC-Anbieter zu aktualisieren: Dies schließt Microsoft Azure ein.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.patch() auf.

Anbieter löschen

Wenn Sie den Anbieter eines Workload Identity-Pools löschen, verlieren die Identitäten des Anbieters den Zugriff auf Google Cloud-Ressourcen.

Sie können einen Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Pool endgültig gelöscht. Erst nachdem ein Anbieter endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Anbieters wiederverwenden.

So löschen Sie einen Workload Identity-Poolanbieter:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie den Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das zugehörige -Symbol Bearbeiten.

  3. Suchen Sie im Bereich Anbieter den Anbieter, den Sie löschen möchten, und klicken Sie auf das zugehörige -Symbol Löschen.

  4. Klicken Sie auf Löschen, um den Anbieter zu löschen.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers delete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.delete() auf.

Anbieter wiederherstellen

Sie können einen gelöschten Workload Identity-Pool-Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. So stellen Sie einen Anbieter wieder her:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Klicken Sie auf den Schalter Gelöschte Pools und Anbieter anzeigen.

  3. Suchen Sie nach dem Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das Symbol Knoten für den Pool maximieren.

  4. Suchen Sie den Anbieter, den Sie wiederherstellen möchten, und klicken Sie dann auf das -Symbol Wiederherstellen.

  5. Klicken Sie auf Wiederherstellen. Der Anbieter wird wiederhergestellt.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers undelete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.undelete() auf.

Einschränkungen für die Föderation der Workload Identity verwalten

Sie können Einschränkungen für Organisationsrichtlinien verwenden, um einzuschränken, wie Ressourcen in Ihrer Google Cloud-Organisation verwendet werden können.

In diesem Abschnitt werden Einschränkungen beschrieben, die bei der Verwendung der Föderation für Workload Identity empfohlen werden.

Konfiguration von Identitätsanbietern einschränken

Als Organisationsadministrator können Sie entscheiden, mit welchen Identitätsanbietern Ihre Organisation verbunden werden soll.

Aktivieren Sie dazu die Listeneinschränkung constraints/iam.workloadIdentityPoolProviders in der Organisationsrichtlinie für Ihre Organisation. Die Einschränkung legt die Aussteller-URIs der zulässigen Anbieter fest. Sie können die Einschränkung über die Google Cloud Console oder die Google Cloud CLI aktivieren.

Wenn Sie die Föderation nur über AWS zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem URI https://sts.amazonaws.com. Das folgende Beispiel zeigt, wie diese Einschränkung mit der gcloud CLI erstellt wird:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.amazonaws.com --organization=ORGANIZATION_NUMBER

Sie können auch angeben, welche AWS-Konto-IDs Zugriff auf Ihre Google Cloud-Ressourcen haben. Verwenden Sie die Listeneinschränkung constraints/iam.workloadIdentityPoolAwsAccounts, um die Konto-IDs anzugeben:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolAwsAccounts \
    ACCOUNT_ID --organization=ORGANIZATION_NUMBER

Wenn Sie die Föderation nur über einen einzigen OIDC-Anbieter zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem issuer_uri des zugelassenen Anbieters. Im folgenden Beispiel wird nur die Föderation über einen bestimmten Azure-Mandanten zugelassen:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.windows.net/AZURE_TENANT_ID --organization=ORGANIZATION_NUMBER

Eine Föderation von einem SAML-Identitätsanbieter ist ein Sonderfall, da die öffentlichen Schlüssel, die zur Validierung der Assertion verwendet werden, zum Zeitpunkt der Konfiguration bereitgestellt werden, anstatt direkt vom Identitätsanbieter abgerufen zu werden. Daher könnte ein böswilliger Nutzer versuchen, ein SAML-Metadatendokument mit der Entitäts-ID des Identitätsanbieters Ihrer Organisation hochzuladen, aber einem öffentlichen Schlüssel, für den er Zugriff hat. Die Beschränkung der Föderation durch die Entitäts-ID in diesem Szenario bringt nur eine Illusion von Sicherheit. Aus diesem Grund empfehlen wir dringend, nur das Erstellen eines Workload Identity-Pools zu erlauben, der die SAML-Föderation in einem Google Cloud-Projekt zulässt, das von Ihrer Organisation zentral verwaltet wird. Anschließend können Sie externen Identitäten in diesem Workload Identity-Pool Zugriff auf Ressourcen in Ihrer Organisation gewähren.

Wenn Sie die Föderation von SAML-Identitätsanbietern zulassen möchten, erstellen Sie eine Einschränkung, die das spezielle Schlüsselwort KEY_UPLOAD zulässt.

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     KEY_UPLOAD --organization=ORGANIZATION_NUMBER

Sie können diese Befehle wiederholen, um die Föderation über zusätzliche Anbieter zuzulassen.

So blockieren Sie die Föderation über alle Anbieter:

  1. Erstellen Sie eine YAML-Datei mit folgendem Inhalt:

    constraint: constraints/iam.workloadIdentityPoolProviders
    listPolicy:
      allValues: DENY
  2. Übergeben Sie die Datei an den Befehl gcloud resource-manager org-policies set-policy:

    gcloud resource-manager org-policies set-policy FILE_NAME.yaml \
        --organization=ORGANIZATION_NUMBER

Erstellen von Dienstkontoschlüsseln einschränken

Mit einer Föderation der Workload Identity können Sie von außerhalb von Google Cloud auf Google Cloud-Ressourcen zugreifen, ohne einen Dienstkontoschlüssel verwenden zu müssen. Wenn Sie keine Dienstkontoschlüssel zur Authentifizierung verwenden, können Sie das Risiko reduzieren, indem Sie die Schlüsselerstellung deaktivieren.

Wenn Sie die Erstellung von Dienstkontoschlüsseln deaktivieren möchten, erzwingen Sie in der Organisationsrichtlinie für Ihre Organisation die boolesche Einschränkung iam.disableServiceAccountKeyCreation. Sie können auch die boolesche Einschränkung iam.disableServiceAccountKeyUpload erzwingen, um das Hochladen von öffentlichen Schlüsseln für Dienstkonten zu deaktivieren.

Sie können die Einschränkungen über die Google Cloud Console oder die gcloud CLI aktivieren. Die folgenden Befehle der gcloud CLI aktivieren beispielsweise beide Einschränkungen:

gcloud resource-manager org-policies enable-enforce \
    constraints/iam.disableServiceAccountKeyCreation \
    --organization=ORGANIZATION_NUMBER
gcloud resource-manager org-policies enable-enforce \
    constraints/iam.disableServiceAccountKeyUpload \
    --organization=ORGANIZATION_NUMBER

Workload Identity-Föderation überwachen

Sie können Cloud Monitoring-Messwerte verwenden, um Authentifizierungsereignisse für Ihre Workload Identity-Pools und -Anbieter zu überwachen. Eine Liste der verfügbaren Messwerte finden Sie unter IAM-Messwerte.

Nächste Schritte

Mehr über die Workload Identity-Föderation erfahren