Auf dieser Seite erfahren Sie, wie Workload Identity-Pools und deren Identitätsanbieter verwaltet werden.
Sie können Pools und Anbieter mit dem gcloud-Befehlszeilentool oder der REST API verwalten. Die Verwendung der Cloud Console oder der Google Cloud-Clientbibliotheken wird für die Betaversion nicht unterstützt.
Vorbereitung
Erstellen Sie einen Workload Identity-Pool und konfigurieren Sie einen Identitätsanbieter. Informationen zur Vorgehensweise finden Sie auf den folgenden Seiten:
- Über AWS auf Ressourcen zugreifen
- Über Microsoft Azure auf Ressourcen zugreifen
- Über einen OIDC-Identitätsanbieter auf Ressourcen zugreifen
Workload Identity-Pools verwalten
Pool erstellen
So erstellen Sie einen Workload Identity-Pool:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools create aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.create() auf.
Pools auflisten
So listen Sie alle Workload Identity-Pools in einem Projekt auf:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools list aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.list() auf.
Pool abrufen
So rufen Sie Details zu einem bestimmten Workload Identity-Pool ab:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools describe aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.get() auf.
Pool aktualisieren
So aktualisieren Sie einen vorhandenen Workload Identity-Pool:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools update aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.patch() auf.
Pool löschen
So löschen Sie einen Workload Identity-Pool:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools delete aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.delete() auf.
Sie können einen Pool bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Pool endgültig gelöscht. Erst nachdem ein Pool endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Workload Identity-Pools wiederverwenden.
Pool wiederherstellen
Sie können einen gelöschten Workload Identity-Pool bis zu 30 Tage nach dem Löschen wiederherstellen. So stellen Sie einen Pool wieder her:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools undelete aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.undelete() auf.
Workload Identity-Anbieter verwalten
Anbieter erstellen
So erstellen Sie einen Workload Identity-Anbieter:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools providers create-aws aus, um einen AWS-Anbieter zu erstellen.
Führen Sie den Befehl gcloud beta iam workload-identity-pools providers create-oidc aus, um einen OIDC-Anbieter zu erstellen. Dies schließt Microsoft Azure ein.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.create() auf.
Anbieter auflisten
So listen Sie alle Workload Identity-Anbieter in einem Projekt auf:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools providers list aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.list() auf.
Anbieter abrufen
So rufen Sie Details zu einem bestimmten Workload Identity-Anbieter auf:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools providers describe aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.get() auf.
Anbieter aktualisieren
So aktualisieren Sie einen vorhandenen Workload Identity-Anbieter:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools providers update-aws aus, um einen AWS-Anbieter zu aktualisieren.
Führen Sie den Befehl gcloud beta iam workload-identity-pools providers update-oidc aus, um einen OIDC-Anbieter zu aktualisieren: Dies schließt Microsoft Azure ein.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.patch() auf.
Anbieter löschen
So löschen Sie einen Workload Identity-Anbieter:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools providers delete aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.delete() auf.
Sie können einen Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. Nach 30 Tagen wird der Anbieter endgültig gelöscht. Erst nachdem ein Anbieter endgültig gelöscht wurde, können Sie seinen Namen beim Erstellen eines neuen Anbieters wiederverwenden.
Pool wiederherstellen
Sie können einen gelöschten Workload Identity-Anbieter bis zu 30 Tage nach dem Löschen wiederherstellen. So stellen Sie einen Anbieter wieder her:
gcloud
Führen Sie den Befehl gcloud beta iam workload-identity-pools providers undelete aus.
REST
Rufen Sie projects.locations.workloadIdentityPools.providers.undelete() auf.
Konfiguration des Identitätsanbieters mithilfe von Organisationsrichtlinien einschränken
Standardmäßig kann jeder Nutzer mit der Rolle des Workload Identity-Pooladministrator (roles/iam.workloadIdentityPoolAdmin) die Föderation mit jedem unterstützten Identitätsanbieter konfigurieren. Als Administrator der Organisation möchten Sie jedoch möglicherweise nur den Zugriff auf Ressourcen über bestimmte vertrauenswürdige Anbieter zulassen.
Mithilfe von Organisationsrichtlinien können Sie die zulässigen Identitätsanbieter einschränken.
Aktivieren Sie in der Cloud Console oder mit dem gcloud-Befehlszeilentool die Einschränkung constraints/iam.workloadIdentityPoolProviders und geben Sie die Aussteller-URIs der zulässigen Anbieter an.
Wenn Sie die Föderation nur über AWS zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem URI https://sts.amazonaws.com. Das folgende Beispiel zeigt, wie diese Einschränkung mit dem gcloud-Befehlszeilentool erstellt wird:
gcloud beta resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
https://sts.amazonaws.com --organization=organization-number
Wenn Sie die Föderation nur über einen einzigen OIDC-Anbieter zulassen möchten, erstellen Sie eine einzelne Einschränkung mit dem issuer_uri des zugelassenen Anbieters. Im folgenden Beispiel wird nur die Föderation über einen bestimmten Azure-Mandanten zugelassen:
gcloud beta resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
https://sts.windows.net/azure-tenant-id --organization=organization-number
Sie können diese Befehle wiederholen, um die Föderation über zusätzliche Anbieter zuzulassen.
So blockieren Sie die Föderation über alle Anbieter:
Erstellen Sie eine YAML-Datei mit folgendem Inhalt:
constraint: constraints/iam.workloadIdentityPoolProviders listPolicy: allValues: DENY
Übergeben Sie die Datei an den Befehl
gcloud beta resource-manager org-policies set-policy:gcloud beta resource-manager org-policies set-policy file-name.yaml \ --organization=organization-number
Löschen Sie alle constraints/iam.workloadIdentityPoolProviders-Einschränkungen für Ihre Organisation, um die Föderation über einen beliebigen Anbieter zuzulassen.