Cette page explique comment gérer les pools d'identités de charge de travail et les fournisseurs d'identité qui leurs sont associés.
Vous pouvez gérer les pools et les fournisseurs à l'aide de l'outil de ligne de commande gcloud
ou de l'API REST.
Avant de commencer
Créez un pool d'identités de charge de travail et configurez un fournisseur d'identité. Pour savoir comment procéder, consultez l'une des pages suivantes :
- Accéder aux ressources depuis AWS
- Accéder aux ressources de Microsoft Azure
- Accéder aux ressources depuis un fournisseur d'identité OIDC
Gérer les pools d'identités de charge de travail
Créer un pool
Pour créer un pool d'identités de charge de travail, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools create
.
REST
Répertorier les pools
Pour répertorier tous les pools d'identités de charge de travail d'un projet, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools list
.
REST
Obtenir un pool
Pour obtenir des détails sur un pool d'identités de charge de travail spécifique, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools describe
.
REST
Mettre à jour un pool
Pour mettre à jour un pool d'identités de charge de travail existant, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools update
.
REST
Supprimer un pool
Pour supprimer un pool d'identités de charge de travail, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools delete
.
REST
Vous pouvez annuler la suppression d'un fournisseur pendant un maximum de 30 jours. Passé ce délai, la suppression est définitive. Vous ne pouvez pas réutiliser le nom d'un pool avant de le supprimer définitivement.
Annuler la suppression d'un pool
Vous pouvez récupérer un pool d'identité de charge de travail supprimé pendant un maximum de 30 jours. Pour annuler la suppression d'un pool, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools undelete
.
REST
Appelez projects.locations.workloadIdentityPools.undelete()
.
Gérer les fournisseurs d'identité de charge de travail
Créer un fournisseur
Pour créer un fournisseur d'identité de charge de travail, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools providers create-aws
pour créer un fournisseur AWS.
Exécutez la commande gcloud iam workload-identity-pools providers create-oidc
pour créer un fournisseur OIDC, y compris un fournisseur Microsoft Azure.
REST
Appelez projects.locations.workloadIdentityPools.providers.create()
.
Répertorier les fournisseurs
Pour répertorier tous les fournisseurs d'identités de charge de travail d'un projet, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools providers list
.
REST
Appelez projects.locations.workloadIdentityPools.providers.list()
.
Obtenir un fournisseur
Pour obtenir des détails sur un fournisseur d'identité de charge de travail spécifique, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools providers describe
.
REST
Appelez projects.locations.workloadIdentityPools.providers.get()
.
Mettre à jour un fournisseur
Pour mettre à jour un fournisseur d'identité de charge de travail existant, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools providers update-aws
pour mettre à jour un fournisseur AWS.
Exécutez la commande gcloud iam workload-identity-pools providers update-oidc
pour mettre à jour un fournisseur OIDC, y compris un fournisseur Microsoft Azure.
REST
Appelez projects.locations.workloadIdentityPools.providers.patch()
.
Supprimer un fournisseur
Pour supprimer un fournisseur d'identité de charge de travail, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools providers delete
.
REST
Appelez projects.locations.workloadIdentityPools.providers.delete()
.
Vous pouvez annuler la suppression d'un fournisseur pendant un maximum de 30 jours. Passé ce délai, la suppression est définitive. Vous ne pouvez pas réutiliser le nom d'un fournisseur avant de le supprimer définitivement.
Annuler la suppression d'un pool
Vous pouvez récupérer un fournisseur d'identité de charge de travail supprimé pendant un maximum de 30 jours. Pour annuler la suppression d'un fournisseur, procédez comme suit :
gcloud
Exécutez la commande gcloud iam workload-identity-pools providers undelete
.
REST
Appelez projects.locations.workloadIdentityPools.providers.undelete()
.
Restreindre la configuration du fournisseur d'identité à l'aide de règles d'administration
En tant qu'administrateur de l'organisation, vous devez choisir les fournisseurs d'identité avec lesquels votre organisation est autorisée à fédérer.
Pour gérer les fournisseurs d'identité autorisés, mettez à jour la règle d'administration pour votre organisation. Dans Cloud Console ou à l'aide de l'outil de ligne de commande gcloud
, utilisez la contrainte de liste constraints/iam.workloadIdentityPoolProviders
pour spécifier les URI d'émetteur des fournisseurs autorisés.
Pour n'autoriser que la fédération depuis AWS, créez une seule contrainte avec l'URI https://sts.amazonaws.com
. L'exemple suivant montre comment créer cette contrainte à l'aide de l'outil de ligne de commande gcloud
:
gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \ https://sts.amazonaws.com --organization=organization-number
Vous pouvez également spécifier les ID des compte AWS ayant accès à vos ressources Google Cloud. Pour spécifier les ID de compte, utilisez la contrainte de liste constraints/iam.workloadIdentityPoolAwsAccounts
:
gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolAwsAccounts \ account-id --organization=organization-number
Pour autoriser la fédération depuis un seul fournisseur OIDC, créez une seule contrainte avec l'URI du fournisseur (issuer_uri
) autorisé. Par exemple, le code suivant n'autorise la fédération qu'à partir d'un locataire Azure spécifique :
gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \ https://sts.windows.net/azure-tenant-id --organization=organization-number
Vous pouvez répéter ces commandes pour autoriser la fédération depuis d'autres fournisseurs.
Pour bloquer la fédération depuis tous les fournisseurs, procédez comme suit :
Créez un fichier YAML contenant les éléments suivants :
constraint: constraints/iam.workloadIdentityPoolProviders listPolicy: allValues: DENY
Transmettez le fichier à la commande
gcloud resource-manager org-policies set-policy
:gcloud resource-manager org-policies set-policy file-name.yaml \ --organization=organization-number
Étape suivante
En savoir plus sur la fédération d'identité de charge de travail.