Workload Identity-Pools und -Poolanbieter verwalten

Auf dieser Seite wird erläutert, wie Sie Ihre vorhandenen Workload Identity-Pools und deren Identitätsanbieter verwalten.

Sie können Pools und Anbieter mit der Google Cloud Console, der Google Cloud CLI oder der REST API verwalten.

Vorbereitung

Erstellen Sie einen Workload Identity-Pool. Informationen zur Vorgehensweise finden Sie auf den folgenden Seiten:

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die benötigten Berechtigungen zum Verwalten von Workload Identity-Pools und Anbietern zu erhalten:

  • So rufen Sie Pools und Anbieter auf: IAM Workload Identity-Poolbetrachter (roles/iam.workloadIdentityPoolViewer)
  • So können Sie Pools und Anbieter aufrufen, erstellen, aktualisieren und löschen: IAM Workload Identity-Pooladministrator (roles/iam.workloadIdentityPoolAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Workload Identity-Pools und Anbietern erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

  • So rufen Sie Workload Identity-Pools und -Anbieter auf:
    • iam.googleapis.com/workloadIdentityPoolProviders.get
    • iam.googleapis.com/workloadIdentityPoolProviders.list
    • iam.googleapis.com/workloadIdentityPools.get
    • iam.googleapis.com/workloadIdentityPools.list
  • So erstellen, aktualisieren und löschen Sie Pools und Anbieter:
    • iam.googleapis.com/workloadIdentityPoolProviders.create
    • iam.googleapis.com/workloadIdentityPoolProviders.delete
    • iam.googleapis.com/workloadIdentityPoolProviders.undelete
    • iam.googleapis.com/workloadIdentityPoolProviders.update
    • iam.googleapis.com/workloadIdentityPools.create
    • iam.googleapis.com/workloadIdentityPools.delete
    • iam.googleapis.com/workloadIdentityPools.undelete
    • iam.googleapis.com/workloadIdentityPools.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Workload Identity-Pools verwalten

Pools auflisten

So listen Sie alle Workload Identity-Pools in einem Projekt auf:

Console

Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

Zu Workload Identity-Pools

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools list aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.list() auf.

Pool aufrufen

So rufen Sie Details zu einem bestimmten Workload Identity-Pool auf:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie nach dem Workload Identity-Pool, den Sie ansehen möchten, und klicken Sie auf das -Symbol Bearbeiten. Die Cloud Console zeigt Details zum Workload Identity-Pool an.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools describe aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.get() auf.

Pool aktualisieren

Sie können einen Workload Identity-Pool aktivieren oder deaktivieren. Sie können auch den angezeigten Namen oder die Beschreibung ändern.

So aktualisieren Sie einen vorhandenen Workload Identity-Pool:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie nach dem Workload Identity-Poolanbieter, den Sie bearbeiten möchten, und klicken Sie auf das -Symbol Bearbeiten.

    Klicken Sie zum Deaktivieren oder Aktivieren des Workload Identity-Pools auf den Schalter Status und dann auf Deaktivieren oder Aktivieren.

    Klicken Sie zum Bearbeiten des angezeigten Namens daneben auf  Bearbeiten. Aktualisieren Sie den Namen und klicken Sie dann auf Speichern.

    Verwenden Sie zum Bearbeiten der Beschreibung die gcloud CLI oder die REST API.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools update aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.patch() auf.

Pool löschen

Wenn Sie einen Workload Identity-Pool löschen, werden auch die Anbieter des Workload Identity-Pools gelöscht. Dadurch verlieren die Identitäten im Pool den Zugriff auf Google Cloud-Ressourcen.

Sie können einen Pool bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Pool endgültig gelöscht. Erst nachdem ein Pool endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Workload Identity-Pools wiederverwenden.

So löschen Sie einen Workload Identity-Pool und die zugehörigen Identitätsanbieter:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie den Workload Identity-Pool, den Sie löschen möchten, und klicken Sie auf das -Symbol Bearbeiten.

  3. Klicken Sie auf Pool löschen und dann auf Löschen. Der Workload Identity-Pool und seine Identitätsanbieter werden gelöscht.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools delete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.delete() auf.

Pool wiederherstellen

Sie können einen gelöschten Workload Identity-Pool bis zu 30 Tage nach dem Löschen wiederherstellen.

So stellen Sie einen Pool wieder her:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Klicken Sie auf den Schalter Gelöschte Pools und Anbieter anzeigen.

  3. Suchen Sie den Workload Identity-Pool, den Sie wiederherstellen möchten, und klicken Sie dann auf das -Symbol Wiederherstellen.

  4. Klicken Sie auf Wiederherstellen. Der Pool und seine Anbieter werden wiederhergestellt.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools undelete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.undelete() auf.

Workload Identity-Pool-Anbieter verwalten

Anbieter erstellen

So erstellen einen Workload Identity-Anbieter in einem bestehenden Workload Identity-Pool:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie den Workload Identity-Pool, dem Sie einen Anbieter hinzufügen möchten, und klicken Sie dann auf das Symbol Bearbeiten.

  3. Klicken Sie auf Anbieter hinzufügen.

  4. Wählen Sie den Anbietertyp aus, der erstellt werden soll:

    • AWS: Ein AWS-Identitätsanbieter (Amazon Web Services).
    • OpenID Connect (OIDC): Ein OIDC-kompatibler Identitätsanbieter. Dies schließt Microsoft Azure ein.
  5. Geben Sie einen Namen für den Anbieter ein.

    Die Cloud Console verwendet den Namen zum Erstellen einer Anbieter-ID: Klicken Sie zum Ändern der Anbieter-ID auf Bearbeiten. Sie können die Anbieter-ID später nicht mehr ändern.

  6. Füllen Sie die übrigen Felder für Ihren Anbieter aus:

    • AWS: Geben Sie Ihre AWS-Konto-ID ein.
    • OIDC: Geben Sie die Aussteller-URL ein. Bei Azure verwendet die Aussteller-URL das Format https://sts.windows.net/AZURE_TENANT_ID. Informationen zu anderen Anbietern erhalten Sie in der deren Dokumentation.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  7. Klicken Sie zum Konfigurieren der Attributzuordnung auf Zuordnung bearbeiten. Mithilfe der Attributzuordnung können Sie Informationen zu externen Identitäten verwenden, um einer Teilmenge dieser Identitäten Zugriff zu gewähren.

  8. Optional: Wenn Sie eine Attributbedingung angeben möchten, mit der die authentifizierenden Identitäten angegeben werden, klicken Sie auf Bedingung hinzufügen und geben Sie einen gültigen CEL-Ausdruck (Common Expression Language) ein. Weitere Informationen finden Sie unter Attributbedingungen.

  9. Klicken Sie auf Speichern. Der Workload Identity-Poolanbieter wird erstellt.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers create-aws aus, um einen AWS-Anbieter zu erstellen.

Führen Sie den Befehl gcloud iam workload-identity-pools providers create-oidc aus, um einen OIDC-Anbieter zu erstellen. Dies schließt Microsoft Azure ein.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.create() auf.

Dienstanbieter auflisten

So listen Sie die Anbieter der Workload Identity-Pools in einem Projekt auf:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Klicken Sie zum Anzeigen der Anbieter für einen Workload Identity-Pool auf das Symbol Knoten für den Pool erweitern.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers list aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.list() auf.

Dienstanbieter aufrufen

So rufen Sie Details zu einem bestimmten Workload Identity-Pool-Anbieter auf:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie nach dem Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das Symbol Knoten für den Pool maximieren.

  3. Suchen Sie nach dem Workload Identity-Poolanbieter, den Sie sich ansehen möchten, und klicken Sie auf das Symbol Bearbeiten. Die Cloud Console zeigt detaillierte Informationen zum Anbieter an.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers describe aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.get() auf.

Anbieter aktualisieren

Sie können einen Workload Identity-Poolanbieter aktivieren oder deaktivieren. Sie können auch die Kontoinformationen und die Attributzuordnung sowie den angezeigten Namen und die Beschreibung aktualisieren.

So aktualisieren Sie einen vorhandenen Workload Identity-Pool-Anbieter:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie nach dem Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das Symbol Knoten für den Pool maximieren.

  3. Suchen Sie nach dem Workload Identity-Poolanbieter, den Sie bearbeiten möchten, und klicken Sie auf das -Symbol Bearbeiten.

  4. Bearbeiten Sie die Informationen des Anbieters und klicken Sie dann auf Speichern.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers update-aws aus, um einen AWS-Anbieter zu aktualisieren.

Führen Sie den Befehl gcloud iam workload-identity-pools providers update-oidc aus, um einen OIDC-Anbieter zu aktualisieren: Dies schließt Microsoft Azure ein.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.patch() auf.

Anbieter löschen

Wenn Sie den Anbieter eines Workload Identity-Pools löschen, verlieren die Identitäten des Anbieters den Zugriff auf Google Cloud-Ressourcen.

Sie können einen Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Pool endgültig gelöscht. Erst nachdem ein Anbieter endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Anbieters wiederverwenden.

So löschen Sie einen Workload Identity-Poolanbieter:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Suchen Sie den Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das zugehörige -Symbol Bearbeiten.

  3. Suchen Sie im Bereich Anbieter den Anbieter, den Sie löschen möchten, und klicken Sie auf das zugehörige -Symbol Löschen.

  4. Klicken Sie auf Löschen, um den Anbieter zu löschen.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers delete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.delete() auf.

Anbieter wiederherstellen

Sie können einen gelöschten Workload Identity-Pool-Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. So stellen Sie einen Anbieter wieder her:

Console

  1. Rufen Sie in der Cloud Console die Seite Workload Identity-Pools auf.

    Zu Workload Identity-Pools

  2. Klicken Sie auf den Schalter Gelöschte Pools und Anbieter anzeigen.

  3. Suchen Sie nach dem Workload Identity-Pool, der den Anbieter enthält, und klicken Sie dann auf das Symbol Knoten für den Pool maximieren.

  4. Suchen Sie den Anbieter, den Sie wiederherstellen möchten, und klicken Sie dann auf das -Symbol Wiederherstellen.

  5. Klicken Sie auf Wiederherstellen. Der Anbieter wird wiederhergestellt.

gcloud

Führen Sie den Befehl gcloud iam workload-identity-pools providers undelete aus.

REST

Rufen Sie projects.locations.workloadIdentityPools.providers.undelete() auf.

Einschränkungen für die Föderation der Workload Identity verwalten

Sie können Einschränkungen für Organisationsrichtlinien verwenden, um einzuschränken, wie Ressourcen in Ihrer Google Cloud-Organisation verwendet werden können.

In diesem Abschnitt werden Einschränkungen beschrieben, die bei der Verwendung der Föderation für Workload Identity empfohlen werden.

Konfiguration von Identitätsanbietern einschränken

Als Organisationsadministrator können Sie entscheiden, mit welchen Identitätsanbietern Ihre Organisation verbunden werden soll.

Aktivieren Sie dazu die Listeneinschränkung constraints/iam.workloadIdentityPoolProviders in der Organisationsrichtlinie für Ihre Organisation. Die Einschränkung legt die Aussteller-URIs der zulässigen Anbieter fest. Sie können die Einschränkung über die Cloud Console oder die Google Cloud CLI aktivieren.

Wenn Sie die Föderation nur über AWS zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem URI https://sts.amazonaws.com. Das folgende Beispiel zeigt, wie diese Einschränkung mit der gcloud CLI erstellt wird:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.amazonaws.com --organization=ORGANIZATION_NUMBER

Sie können auch angeben, welche AWS-Konto-IDs Zugriff auf Ihre Google Cloud-Ressourcen haben. Verwenden Sie die Listeneinschränkung constraints/iam.workloadIdentityPoolAwsAccounts, um die Konto-IDs anzugeben:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolAwsAccounts \
    ACCOUNT_ID --organization=ORGANIZATION_NUMBER

Wenn Sie die Föderation nur über einen einzigen OIDC-Anbieter zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem issuer_uri des zugelassenen Anbieters. Im folgenden Beispiel wird nur die Föderation über einen bestimmten Azure-Mandanten zugelassen:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.windows.net/AZURE_TENANT_ID --organization=ORGANIZATION_NUMBER

Eine Föderation von einem SAML-Identitätsanbieter ist ein Sonderfall, da die öffentlichen Schlüssel, die zur Validierung der Assertion verwendet werden, zum Zeitpunkt der Konfiguration bereitgestellt werden, anstatt direkt vom Identitätsanbieter abgerufen zu werden. Daher könnte ein böswilliger Nutzer versuchen, ein SAML-Metadatendokument mit der Entitäts-ID des Identitätsanbieters Ihrer Organisation hochzuladen, aber einem öffentlichen Schlüssel, für den er Zugriff hat. Die Beschränkung der Föderation durch die Entitäts-ID in diesem Szenario bringt nur eine Illusion von Sicherheit. Aus diesem Grund empfehlen wir dringend, nur das Erstellen eines Workload Identity-Pools zu erlauben, der die SAML-Föderation in einem GCP-Projekt zulässt, das von Ihrer Organisation zentral verwaltet wird. Anschließend können Sie externen Identitäten in diesem Workload Identity-Pool Zugriff auf Ressourcen in Ihrer Organisation gewähren.

Wenn Sie die Föderation von SAML-Identitätsanbietern zulassen möchten, erstellen Sie eine Einschränkung, die das spezielle Schlüsselwort KEY_UPLOAD zulässt.

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     KEY_UPLOAD --organization=ORGANIZATION_NUMBER

Sie können diese Befehle wiederholen, um die Föderation über zusätzliche Anbieter zuzulassen.

So blockieren Sie die Föderation über alle Anbieter:

  1. Erstellen Sie eine YAML-Datei mit folgendem Inhalt:

    constraint: constraints/iam.workloadIdentityPoolProviders
    listPolicy:
      allValues: DENY
    
  2. Übergeben Sie die Datei an den Befehl gcloud resource-manager org-policies set-policy:

    gcloud resource-manager org-policies set-policy FILE_NAME.yaml \
        --organization=ORGANIZATION_NUMBER
    

Erstellen von Dienstkontoschlüsseln einschränken

Mit einer Föderation der Workload Identity können Sie von außerhalb von Google Cloud auf Google Cloud-Ressourcen zugreifen, ohne einen Dienstkontoschlüssel verwenden zu müssen. Wenn Sie keine Dienstkontoschlüssel zur Authentifizierung verwenden, können Sie das Risiko reduzieren, indem Sie die Schlüsselerstellung deaktivieren.

Wenn Sie die Erstellung von Dienstkontoschlüsseln deaktivieren möchten, erzwingen Sie in der Organisationsrichtlinie für Ihre Organisation die boolesche Einschränkung iam.disableServiceAccountKeyCreation. Sie können auch die boolesche Einschränkung iam.disableServiceAccountKeyUpload erzwingen, um das Hochladen von öffentlichen Schlüsseln für Dienstkonten zu deaktivieren.

Sie können die Einschränkungen mit der Cloud Console oder der gcloud CLI aktivieren. Die folgenden Befehle der gcloud CLI aktivieren beispielsweise beide Einschränkungen:

gcloud resource-manager org-policies enable-enforce \
    constraints/iam.disableServiceAccountKeyCreation \
    --organization=ORGANIZATION_NUMBER
gcloud resource-manager org-policies enable-enforce \
    constraints/iam.disableServiceAccountKeyUpload \
    --organization=ORGANIZATION_NUMBER

Workload Identity-Föderationen überwachen

Die Workload Identity-Föderation bietet mehrere Cloud Monitoring-Messwerte, mit denen Sie Ihre Workload Identity-Pools und -Anbieter überwachen können. Weitere Informationen zum Anzeigen oder Einrichten benutzerdefinierter Benachrichtigungen zu diesen Messwerten finden Sie in der Cloud Monitoring-Dokumentation.

Messwerttyp Startphase
Anzeigename
Art, Typ, Einheit
Überwachte Ressourcen
Beschreibung
Labels
iam.googleapis.com/workload_identity_federation/count BETA
Anzahl der Workload Identity-Föderationen
DELTAINT641
iam.googleapis.com/WorkloadIdentityPoolProvider
Anzahl der Tokenaustausche mit Workload Identity-Föderation.
result: Wenn die Anfrage erfolgreich ist, lautet der Wert success. Wenn die Anfrage fehlschlägt, entspricht der Wert einem der möglichen OAuth 2.0-Fehlertypen unter https://tools.ietf.org/html/rfc6749#section-5.2, zum Beispiel invalid_client.
iam.googleapis.com/workload_identity_federation/key_usage_count
Anzahl der Arbeitslasten von Workload Identity-Föderationsschlüsseln. Dieser Messwert erfasst derzeit nur SAML-Schlüssel.
DELTAINT641
iam.googleapis.com/WorkloadIdentityPoolProvider
Häufigkeit der Verwendung eines Schlüssels im Rahmen der Workload Identity-Föderation.
key: Die Kennung eines öffentlichen Schlüssels, der während einer Workload Identity-Föderation verwendet wird.
use: Wofür der Schlüssel verwendet wurde. Folgende Werte sind für use möglich (in Zukunft können weitere Werte hinzugefügt werden):
  • verify: Signatur prüfen

Nächste Schritte

Mehr über die Workload Identity-Föderation erfahren