Workload Identity-Pools und -Anbieter verwalten

Auf dieser Seite erfahren Sie, wie Workload Identity-Pools und deren Identitätsanbieter verwaltet werden.

Sie können Pools und Anbieter mit dem gcloud-Befehlszeilentool oder der REST API verwalten. Die Verwendung der Cloud Console oder der Google Cloud-Clientbibliotheken wird für die Betaversion nicht unterstützt.

Vorbereitung

Erstellen Sie einen Workload Identity-Pool und konfigurieren Sie einen Identitätsanbieter. Informationen zur Vorgehensweise finden Sie auf den folgenden Seiten:

Workload Identity-Pools verwalten

Pool erstellen

So erstellen Sie einen Workload Identity-Pool:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools create aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.create() auf.

Pools auflisten

So listen Sie alle Workload Identity-Pools in einem Projekt auf:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools list aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.list() auf.

Pool abrufen

So rufen Sie Details zu einem bestimmten Workload Identity-Pool ab:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools describe aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.get() auf.

Pool aktualisieren

So aktualisieren Sie einen vorhandenen Workload Identity-Pool:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools update aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.patch() auf.

Pool löschen

So löschen Sie einen Workload Identity-Pool:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools delete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.delete() auf.

Sie können einen Pool bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Pool endgültig gelöscht. Erst nachdem ein Pool endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Workload Identity-Pools wiederverwenden.

Pool wiederherstellen

Sie können einen gelöschten Workload Identity-Pool bis zu 30 Tage nach dem Löschen wiederherstellen. So stellen Sie einen Pool wieder her:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools undelete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.undelete() auf.

Workload Identity-Anbieter verwalten

Anbieter erstellen

So erstellen Sie einen Workload Identity-Anbieter:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools providers create-aws aus, um einen AWS-Anbieter zu erstellen.

Führen Sie den Befehl gcloud beta iam workload-identity-pools providers create-oidc aus, um einen OIDC-Anbieter zu erstellen. Dies schließt Microsoft Azure ein.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.create() auf.

Anbieter auflisten

So listen Sie alle Workload Identity-Anbieter in einem Projekt auf:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools providers list aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.list() auf.

Anbieter abrufen

So rufen Sie Details zu einem bestimmten Workload Identity-Anbieter auf:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools providers describe aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.get() auf.

Anbieter aktualisieren

So aktualisieren Sie einen vorhandenen Workload Identity-Anbieter:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools providers update-aws aus, um einen AWS-Anbieter zu aktualisieren.

Führen Sie den Befehl gcloud beta iam workload-identity-pools providers update-oidc aus, um einen OIDC-Anbieter zu aktualisieren: Dies schließt Microsoft Azure ein.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.patch() auf.

Anbieter löschen

So löschen Sie einen Workload Identity-Anbieter:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools providers delete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.delete() auf.

Sie können einen Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Anbieter endgültig gelöscht. Erst nachdem ein Anbieter endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Anbieters wiederverwenden.

Pool wiederherstellen

Sie können einen gelöschten Workload Identity-Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. So stellen Sie einen Anbieter wieder her:

gcloud

Führen Sie den Befehl gcloud beta iam workload-identity-pools providers undelete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.undelete() auf.

Konfiguration des Identitätsanbieters mithilfe von Organisationsrichtlinien einschränken

Standardmäßig kann jeder Nutzer mit der Rolle des Workload Identity-Pooladministrator (roles/iam.workloadIdentityPoolAdmin) die Föderation mit jedem unterstützten Identitätsanbieter konfigurieren. Als Administrator der Organisation möchten Sie jedoch möglicherweise nur den Zugriff auf Ressourcen über bestimmte vertrauenswürdige Anbieter zulassen.

Mithilfe von Organisationsrichtlinien können Sie die zulässigen Identitätsanbieter einschränken. Aktivieren Sie in der Cloud Console oder mit dem gcloud-Befehlszeilentool die Einschränkung constraints/iam.workloadIdentityPoolProviders und geben Sie die Aussteller-URIs der zulässigen Anbieter an.

Wenn Sie die Föderation nur über AWS zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem URI https://sts.amazonaws.com. Das folgende Beispiel zeigt, wie diese Einschränkung mit dem gcloud-Befehlszeilentool erstellt wird:

gcloud beta resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.amazonaws.com --organization=organization-number

Wenn Sie die Föderation nur über einen einzigen OIDC-Anbieter zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem issuer_uri des zugelassenen Anbieters. Im folgenden Beispiel wird nur die Föderation über einen bestimmten Azure-Mandanten zugelassen:

gcloud beta resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.windows.net/azure-tenant-id --organization=organization-number

Sie können diese Befehle wiederholen, um die Föderation über zusätzliche Anbieter zuzulassen.

So blockieren Sie die Föderation über alle Anbieter:

  1. Erstellen Sie eine YAML-Datei mit folgendem Inhalt:

    constraint: constraints/iam.workloadIdentityPoolProviders
    listPolicy:
      allValues: DENY
    
  2. Übergeben Sie die Datei an den Befehl gcloud beta resource-manager org-policies set-policy:

    gcloud beta resource-manager org-policies set-policy file-name.yaml \
        --organization=organization-number
    

Löschen Sie alle constraints/iam.workloadIdentityPoolProviders-Einschränkungen für Ihre Organisation, um die Föderation über einen beliebigen Anbieter zuzulassen.

Weitere Informationen