Auf dieser Seite wird erläutert, wie Sie Ihre vorhandenen Workload Identity-Pools und deren Identitätsanbieter verwalten.
Sie können Pools und Anbieter mit der Google Cloud Console, der Google Cloud CLI oder der REST API verwalten.
Vorbereitung
Erstellen Sie einen Workload Identity-Pool. Informationen zur Vorgehensweise finden Sie auf den folgenden Seiten:
- Über AWS auf Ressourcen zugreifen
- Über Microsoft Azure auf Ressourcen zugreifen
- Über einen OIDC-Identitätsanbieter auf Ressourcen zugreifen
- Über einen SAML 2.0-Identitätsanbieter auf Ressourcen zugreifen
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die benötigten Berechtigungen zum Verwalten von Workload Identity-Pools und Anbietern zu erhalten:
-
So rufen Sie Pools und Anbieter auf: IAM Workload Identity-Poolbetrachter (
roles/iam.workloadIdentityPoolViewer) -
So können Sie Pools und Anbieter aufrufen, erstellen, aktualisieren und löschen: IAM Workload Identity-Pooladministrator (
roles/iam.workloadIdentityPoolAdmin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Workload Identity-Pools und Anbietern erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
-
So rufen Sie Workload Identity-Pools und -Anbieter auf:
-
iam.googleapis.com/workloadIdentityPoolProviders.get -
iam.googleapis.com/workloadIdentityPoolProviders.list -
iam.googleapis.com/workloadIdentityPools.get -
iam.googleapis.com/workloadIdentityPools.list -
-
-
So erstellen, aktualisieren und löschen Sie Pools und Anbieter:
-
iam.googleapis.com/workloadIdentityPoolProviders.create -
iam.googleapis.com/workloadIdentityPoolProviders.delete -
iam.googleapis.com/workloadIdentityPoolProviders.undelete -
iam.googleapis.com/workloadIdentityPoolProviders.update -
iam.googleapis.com/workloadIdentityPools.create -
iam.googleapis.com/workloadIdentityPools.delete -
iam.googleapis.com/workloadIdentityPools.undelete -
iam.googleapis.com/workloadIdentityPools.update -
-
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Workload Identity-Pools verwalten
Pools auflisten
So listen Sie alle Workload Identity-Pools in einem Projekt auf:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools list aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.list() auf.
Pool aufrufen
So rufen Sie Details zu einem bestimmten Workload Identity-Pool auf:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Suchen Sie nach dem Workload Identity-Pool, den Sie ansehen möchten, und klicken Sie auf das -Symbol Bearbeiten. Die Cloud Console zeigt Details zum Workload Identity-Pool an.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools describe aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.get() auf.
Pool aktualisieren
Sie können einen Workload Identity-Pool aktivieren oder deaktivieren. Sie können auch den angezeigten Namen oder die Beschreibung ändern.
So aktualisieren Sie einen vorhandenen Workload Identity-Pool:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Suchen Sie nach dem Workload Identity-Poolanbieter, den Sie bearbeiten möchten, und klicken Sie auf das -Symbol Bearbeiten.
Klicken Sie zum Deaktivieren oder Aktivieren des Workload Identity-Pools auf den Schalter Status und dann auf Deaktivieren oder Aktivieren.
Klicken Sie zum Bearbeiten des angezeigten Namens daneben auf Bearbeiten. Aktualisieren Sie den Namen und klicken Sie dann auf Speichern.
Verwenden Sie zum Bearbeiten der Beschreibung die gcloud CLI oder die REST API.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools update aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.patch() auf.
Pool löschen
Wenn Sie einen Workload Identity-Pool löschen, werden auch die Anbieter des Workload Identity-Pools gelöscht. Dadurch verlieren die Identitäten im Pool den Zugriff auf Google Cloud-Ressourcen.
Sie können einen Pool bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Pool endgültig gelöscht. Erst nachdem ein Pool endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Workload Identity-Pools wiederverwenden.
So löschen Sie einen Workload Identity-Pool und die zugehörigen Identitätsanbieter:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Suchen Sie den Workload Identity-Pool, den Sie löschen möchten, und klicken Sie auf das -Symbol Bearbeiten.
Klicken Sie auf Pool löschen und dann auf Löschen. Der Workload Identity-Pool und seine Identitätsanbieter werden gelöscht.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools delete aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.delete() auf.
Pool wiederherstellen
Sie können einen gelöschten Workload Identity-Pool bis zu 30 Tage nach dem Löschen wiederherstellen.
So stellen Sie einen Pool wieder her:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Klicken Sie auf den Schalter Gelöschte Pools und Anbieter anzeigen.
Suchen Sie den Workload Identity-Pool, den Sie wiederherstellen möchten, und klicken Sie dann auf das -Symbol Wiederherstellen.
Klicken Sie auf Wiederherstellen. Der Pool und seine Anbieter werden wiederhergestellt.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools undelete aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.undelete() auf.
Workload Identity-Pool-Anbieter verwalten
Anbieter erstellen
So erstellen einen Workload Identity-Anbieter in einem bestehenden Workload Identity-Pool:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Suchen Sie den Workload Identity-Pool, dem Sie einen Anbieter hinzufügen möchten, und klicken Sie dann auf das Symbol Bearbeiten.
Klicken Sie auf Anbieter hinzufügen.
Wählen Sie den Anbietertyp aus, der erstellt werden soll:
- AWS: Ein AWS-Identitätsanbieter (Amazon Web Services).
- OpenID Connect (OIDC): Ein OIDC-kompatibler Identitätsanbieter. Dies schließt Microsoft Azure ein.
Geben Sie einen Namen für den Anbieter ein.
Die Cloud Console verwendet den Namen zum Erstellen einer Anbieter-ID: Klicken Sie zum Ändern der Anbieter-ID auf Bearbeiten. Sie können die Anbieter-ID später nicht mehr ändern.
Füllen Sie die übrigen Felder für Ihren Anbieter aus:
- AWS: Geben Sie Ihre AWS-Konto-ID ein.
- OIDC: Geben Sie die Aussteller-URL ein. Bei Azure verwendet die Aussteller-URL das Format
https://sts.windows.net/AZURE_TENANT_ID. Informationen zu anderen Anbietern erhalten Sie in der deren Dokumentation.
Wenn Sie fertig sind, klicken Sie auf Weiter.
Klicken Sie zum Konfigurieren der Attributzuordnung auf Zuordnung bearbeiten. Mithilfe der Attributzuordnung können Sie Informationen zu externen Identitäten verwenden, um einer Teilmenge dieser Identitäten Zugriff zu gewähren.
AWS: Dieser Schritt ist optional, Sie können die Standardzuordnung verwenden.
Weitere Informationen finden Sie unter Identitätsanbieter-Einstellungen für AWS.
OIDC: Wir empfehlen die Zuordnung von
google.subjectzuassertion.sub. Weitere Zuordnungen sind optional.Weitere Informationen finden Sie unter Identitätsanbieter-Einstellungen für Azure oder Identitätsanbieter-Einstellungen für OIDC.
Optional: Wenn Sie eine Attributbedingung angeben möchten, mit der die authentifizierenden Identitäten angegeben werden, klicken Sie auf Bedingung hinzufügen und geben Sie einen gültigen CEL-Ausdruck (Common Expression Language) ein. Weitere Informationen finden Sie unter Attributbedingungen.
Klicken Sie auf Speichern. Der Workload Identity-Poolanbieter wird erstellt.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools providers create-aws aus, um einen AWS-Anbieter zu erstellen.
Führen Sie den Befehl gcloud iam workload-identity-pools providers create-oidc aus, um einen OIDC-Anbieter zu erstellen. Dies schließt Microsoft Azure ein.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.create() auf.
Dienstanbieter auflisten
So listen Sie die Anbieter der Workload Identity-Pools in einem Projekt auf:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Klicken Sie zum Anzeigen der Anbieter für einen Workload Identity-Pool auf das Symbol Knoten für den Pool erweitern.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools providers list aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.list() auf.
Dienstanbieter aufrufen
So rufen Sie Details zu einem bestimmten Workload Identity-Pool-Anbieter auf:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Suchen Sie nach dem Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das Symbol Knoten für den Pool maximieren.
Suchen Sie nach dem Workload Identity-Poolanbieter, den Sie sich ansehen möchten, und klicken Sie auf das Symbol Bearbeiten. Die Cloud Console zeigt detaillierte Informationen zum Anbieter an.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools providers describe aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.get() auf.
Anbieter aktualisieren
Sie können einen Workload Identity-Poolanbieter aktivieren oder deaktivieren. Sie können auch die Kontoinformationen und die Attributzuordnung sowie den angezeigten Namen und die Beschreibung aktualisieren.
So aktualisieren Sie einen vorhandenen Workload Identity-Pool-Anbieter:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Suchen Sie nach dem Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das Symbol Knoten für den Pool maximieren.
Suchen Sie nach dem Workload Identity-Poolanbieter, den Sie bearbeiten möchten, und klicken Sie auf das -Symbol Bearbeiten.
Bearbeiten Sie die Informationen des Anbieters und klicken Sie dann auf Speichern.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools providers update-aws aus, um einen AWS-Anbieter zu aktualisieren.
Führen Sie den Befehl gcloud iam workload-identity-pools providers update-oidc aus, um einen OIDC-Anbieter zu aktualisieren: Dies schließt Microsoft Azure ein.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.patch() auf.
Anbieter löschen
Wenn Sie den Anbieter eines Workload Identity-Pools löschen, verlieren die Identitäten des Anbieters den Zugriff auf Google Cloud-Ressourcen.
Sie können einen Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Pool endgültig gelöscht. Erst nachdem ein Anbieter endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Anbieters wiederverwenden.
So löschen Sie einen Workload Identity-Poolanbieter:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Suchen Sie den Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das zugehörige -Symbol Bearbeiten.
Suchen Sie im Bereich Anbieter den Anbieter, den Sie löschen möchten, und klicken Sie auf das zugehörige -Symbol Löschen.
Klicken Sie auf Löschen, um den Anbieter zu löschen.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools providers delete aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.delete() auf.
Anbieter wiederherstellen
Sie können einen gelöschten Workload Identity-Pool-Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. So stellen Sie einen Anbieter wieder her:
Console
Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.
Klicken Sie auf den Schalter Gelöschte Pools und Anbieter anzeigen.
Suchen Sie nach dem Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das Symbol Knoten für den Pool maximieren.
Suchen Sie den Anbieter, den Sie wiederherstellen möchten, und klicken Sie dann auf das -Symbol Wiederherstellen.
Klicken Sie auf Wiederherstellen. Der Anbieter wird wiederhergestellt.
gcloud
Führen Sie den Befehl gcloud iam workload-identity-pools providers undelete aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.undelete() auf.
Einschränkungen für die Föderation der Workload Identity verwalten
Sie können Einschränkungen für Organisationsrichtlinien verwenden, um einzuschränken, wie Ressourcen in Ihrer Google Cloud-Organisation verwendet werden können.
In diesem Abschnitt werden Einschränkungen beschrieben, die bei der Verwendung der Föderation für Workload Identity empfohlen werden.
Konfiguration von Identitätsanbietern einschränken
Als Organisationsadministrator können Sie entscheiden, mit welchen Identitätsanbietern Ihre Organisation verbunden werden soll.
Aktivieren Sie dazu die Listeneinschränkung constraints/iam.workloadIdentityPoolProviders in der Organisationsrichtlinie für Ihre Organisation. Die Einschränkung legt die Aussteller-URIs der zulässigen Anbieter fest. Sie können die Einschränkung über die Cloud Console oder die Google Cloud CLI aktivieren.
Wenn Sie die Föderation nur über AWS zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem URI https://sts.amazonaws.com. Das folgende Beispiel zeigt, wie diese Einschränkung mit der gcloud CLI erstellt wird:
gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
https://sts.amazonaws.com --organization=ORGANIZATION_NUMBER
Sie können auch angeben, welche AWS-Konto-IDs Zugriff auf Ihre Google Cloud-Ressourcen haben. Verwenden Sie die Listeneinschränkung constraints/iam.workloadIdentityPoolAwsAccounts, um die Konto-IDs anzugeben:
gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolAwsAccounts \
ACCOUNT_ID --organization=ORGANIZATION_NUMBER
Wenn Sie die Föderation nur über einen einzigen OIDC-Anbieter zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem issuer_uri des zugelassenen Anbieters. Im folgenden Beispiel wird nur die Föderation über einen bestimmten Azure-Mandanten zugelassen:
gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
https://sts.windows.net/AZURE_TENANT_ID --organization=ORGANIZATION_NUMBER
Eine Föderation von einem SAML-Identitätsanbieter ist ein Sonderfall, da die öffentlichen Schlüssel, die zur Validierung der Assertion verwendet werden, zum Zeitpunkt der Konfiguration bereitgestellt werden, anstatt direkt vom Identitätsanbieter abgerufen zu werden. Daher könnte ein böswilliger Nutzer versuchen, ein SAML-Metadatendokument mit der Entitäts-ID des Identitätsanbieters Ihrer Organisation hochzuladen, aber einem öffentlichen Schlüssel, für den er Zugriff hat. Die Beschränkung der Föderation durch die Entitäts-ID in diesem Szenario bringt nur eine Illusion von Sicherheit. Aus diesem Grund empfehlen wir dringend, nur das Erstellen eines Workload Identity-Pools zu erlauben, der die SAML-Föderation in einem GCP-Projekt zulässt, das von Ihrer Organisation zentral verwaltet wird. Anschließend können Sie externen Identitäten in diesem Workload Identity-Pool Zugriff auf Ressourcen in Ihrer Organisation gewähren.
Wenn Sie die Föderation von SAML-Identitätsanbietern zulassen möchten, erstellen Sie eine Einschränkung, die das spezielle Schlüsselwort KEY_UPLOAD zulässt.
gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
KEY_UPLOAD --organization=ORGANIZATION_NUMBER
Sie können diese Befehle wiederholen, um die Föderation über zusätzliche Anbieter zuzulassen.
So blockieren Sie die Föderation über alle Anbieter:
Erstellen Sie eine YAML-Datei mit folgendem Inhalt:
constraint: constraints/iam.workloadIdentityPoolProviders listPolicy: allValues: DENY
Übergeben Sie die Datei an den Befehl
gcloud resource-manager org-policies set-policy:gcloud resource-manager org-policies set-policy FILE_NAME.yaml \ --organization=ORGANIZATION_NUMBER
Erstellen von Dienstkontoschlüsseln einschränken
Mit einer Föderation der Workload Identity können Sie von außerhalb von Google Cloud auf Google Cloud-Ressourcen zugreifen, ohne einen Dienstkontoschlüssel verwenden zu müssen. Wenn Sie keine Dienstkontoschlüssel zur Authentifizierung verwenden, können Sie das Risiko reduzieren, indem Sie die Schlüsselerstellung deaktivieren.
Wenn Sie die Erstellung von Dienstkontoschlüsseln deaktivieren möchten, erzwingen Sie in der Organisationsrichtlinie für Ihre Organisation die boolesche Einschränkung iam.disableServiceAccountKeyCreation. Sie können auch die boolesche Einschränkung iam.disableServiceAccountKeyUpload erzwingen, um das Hochladen von öffentlichen Schlüsseln für Dienstkonten zu deaktivieren.
Sie können die Einschränkungen mit der Cloud Console oder der gcloud CLI aktivieren. Die folgenden Befehle der gcloud CLI aktivieren beispielsweise beide Einschränkungen:
gcloud resource-manager org-policies enable-enforce \
constraints/iam.disableServiceAccountKeyCreation \
--organization=ORGANIZATION_NUMBER
gcloud resource-manager org-policies enable-enforce \
constraints/iam.disableServiceAccountKeyUpload \
--organization=ORGANIZATION_NUMBER
Workload Identity-Föderationen überwachen
Die Workload Identity-Föderation bietet mehrere Cloud Monitoring-Messwerte, mit denen Sie Ihre Workload Identity-Pools und -Anbieter überwachen können. Weitere Informationen zum Anzeigen oder Einrichten benutzerdefinierter Benachrichtigungen zu diesen Messwerten finden Sie in der Cloud Monitoring-Dokumentation.
| Messwerttyp Startphase Anzeigename |
|
|---|---|
| Art, Typ, Einheit Überwachte Ressourcen |
Beschreibung Labels |
iam.googleapis.com/workload_identity_federation/count
BETA
Anzahl der Workload Identity-Föderationen |
|
DELTA, INT64, 1iam.googleapis.com/WorkloadIdentityPoolProvider |
Anzahl der Tokenaustausche mit Workload Identity-Föderation.
result: Wenn die Anfrage erfolgreich ist, lautet der Wert success.
Wenn die Anfrage fehlschlägt, entspricht der Wert einem der möglichen OAuth 2.0-Fehlertypen unter https://tools.ietf.org/html/rfc6749#section-5.2, zum Beispiel invalid_client.
|
iam.googleapis.com/workload_identity_federation/key_usage_count
Anzahl der Arbeitslasten von Workload Identity-Föderationsschlüsseln. Dieser Messwert erfasst derzeit nur SAML-Schlüssel. |
|
DELTA, INT64, 1iam.googleapis.com/WorkloadIdentityPoolProvider |
Häufigkeit der Verwendung eines Schlüssels im Rahmen der Workload Identity-Föderation.
key: Die Kennung eines öffentlichen Schlüssels, der während einer Workload Identity-Föderation verwendet wird.
use:
Wofür der Schlüssel verwendet wurde. Folgende Werte sind für use möglich (in Zukunft können weitere Werte hinzugefügt werden):
|
Nächste Schritte
Mehr über die Workload Identity-Föderation erfahren