Como gerenciar pools e provedores de identidade da carga de trabalho

Nesta página, explicamos como gerenciar pools de identidades de carga de trabalho e os respectivos provedores de identidade.

É possível gerenciar pools e provedores usando a ferramenta de linha de comando gcloud ou a API REST.

Antes de começar

Crie um pool de identidade de carga de trabalho e configure um provedor de identidade. Consulte uma das seguintes páginas para descobrir como fazer isso:

Como gerenciar pools de identidade da carga de trabalho

Como criar um pool

Para criar um pool de identidades de carga de trabalho:

Como listar pools

Para listar todos os pools de identidades de carga de trabalho em um projeto:

Como conseguir um pool

Para ver detalhes de um pool de identidades de carga de trabalho específico:

Como atualizar um pool

Para atualizar um pool de identidades da carga de trabalho existente:

Como excluir um pool

Para excluir um pool de identidades de carga de trabalho:

É possível cancelar a exclusão de um pool até 30 dias após a exclusão. Depois desse período, a exclusão é permanente. Até que um pool seja excluído de modo permanente, você não poderá reutilizar o nome dele ao criar um novo pool de identidades de carga de trabalho.

Como cancelar a exclusão de um pool

É possível recuperar um pool de identidades de carga de trabalho excluído até 30 dias após a exclusão. Para cancelar a exclusão de um pool:

Como gerenciar provedores de identidade de carga de trabalho

Como criar um provedor

Para criar um provedor de identidade de carga de trabalho:

gcloud

Execute o comando gcloud iam workload-identity-pools providers create-aws para criar um provedor da AWS.

Execute o comando gcloud iam workload-identity-pools providers create-oidc para criar um provedor OIDC. Essa opção inclui o Microsoft Azure.

REST

Chame projects.locations.workloadIdentityPools.providers.create().

Como listar provedores

Para listar todos os provedores de identidades de carga de trabalho em um projeto:

Como conseguir um provedor

Para ver detalhes de um provedor de identidades de carga de trabalho específico:

Como atualizar um provedor

Para atualizar um provedor de identidades de carga de trabalho existente:

gcloud

Execute o comando gcloud iam workload-identity-pools providers update-aws para atualizar um provedor da AWS.

Execute o comando gcloud iam workload-identity-pools providers update-oidc para atualizar um provedor OIDC. Essa opção inclui o Microsoft Azure.

REST

Chame projects.locations.workloadIdentityPools.providers.patch().

Como excluir um provedor

Para excluir um provedor de identidades de carga de trabalho:

É possível cancelar a exclusão de um provedor até 30 dias após a exclusão. Depois desse período, a exclusão é permanente. Até que um provedor seja excluído de modo permanente, você não poderá reutilizar o nome dele ao criar um novo provedor.

Como cancelar a exclusão de um pool

É possível recuperar um provedor de identidades de carga de trabalho excluído até 30 dias após a exclusão. Para cancelar a exclusão de um provedor:

Como restringir a configuração do provedor de identidade usando políticas da organização

Como administrador da organização, você precisa decidir com quais provedores de identidade sua organização poderá federar.

Para gerenciar os provedores de identidade permitidos, atualize a política da organização da sua organização. No Console do Cloud ou usando a ferramenta de linha de comando gcloud, use a restrição de lista constraints/iam.workloadIdentityPoolProviders para especificar os URIs do emissor dos provedores permitidos.

Para permitir somente a federação da AWS, crie uma única restrição com o URI https://sts.amazonaws.com. O exemplo a seguir mostra como criar essa restrição usando a ferramenta de linha de comando gcloud:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.amazonaws.com --organization=organization-number

Também é possível especificar quais IDs de conta da AWS têm acesso aos seus recursos do Google Cloud. Para especificar os IDs da conta, use a restrição de lista constraints/iam.workloadIdentityPoolAwsAccounts:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolAwsAccounts \
    account-id --organization=organization-number

Para permitir a federação de apenas um provedor OIDC, crie uma restrição única com o issuer_uri do provedor permitido. O exemplo a seguir só permite a federação de um locatário Azure específico:

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.windows.net/azure-tenant-id --organization=organization-number

Repita esses comandos para permitir a federação de outros provedores.

Para bloquear a federação de todos os provedores:

  1. Crie um arquivo YAML contendo o seguinte:

    constraint: constraints/iam.workloadIdentityPoolProviders
    listPolicy:
      allValues: DENY
    
  2. Transmita o arquivo para o comando gcloud resource-manager org-policies set-policy:

    gcloud resource-manager org-policies set-policy file-name.yaml \
        --organization=organization-number
    

A seguir

Saiba mais sobre a federação de identidade da carga de trabalho.