As identidades de cargas de trabalho gerenciadas permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine. O Google Cloud provisiona credenciais X.509 emitidas pelo Certificate Authority Service que podem ser usadas para autenticar de maneira confiável sua carga de trabalho com outras cargas de trabalho por TLS mútuo (mTLS).
Para conseguir essa interoperabilidade, as identidades de cargas de trabalho gerenciadas são baseadas no Secure Production Identity Framework for Everyone (SPIFFE), que define um framework e um conjunto de padrões para identificação e proteção das comunicações entre cargas de trabalho. No SPIFFE, uma identidade de carga de trabalho gerenciada é
representada usando o formato
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID.
Ainda que as identidades de cargas de trabalho gerenciadas possam ser usadas para autenticação em outras cargas de trabalho, elas não podem ser usadas para autenticação nas APIs do Google Cloud.
Hierarquia de recursos
As identidades das cargas de trabalho gerenciadas são definidas em um pool de identidades de cargas de trabalho, que atua como um limite de confiança para todas as identidades no pool. O pool de identidade da carga de trabalho forma o componente de domínio de confiança do identificador SPIFFE da identidade da carga de trabalho gerenciada. Recomendamos a criação de um novo pool para cada ambiente lógico na sua organização, como desenvolvimento, preparo ou produção.
Em um pool de identidades de cargas de trabalho, as identidades de cargas de trabalho gerenciadas são organizadas em limites administrativos, chamados de namespaces. Eles ajudam a organizar e conceder acesso às identidades de carga de trabalho relacionadas.
É necessário permitir que sua carga de trabalho use uma identidade de carga de trabalho gerenciada com uma política de atestado para que ela possa receber credenciais para a identidade de carga de trabalho gerenciada. As políticas de atestado de carga de trabalho permitem definir qual carga de trabalho pode receber uma credencial para uma identidade de carga de trabalho gerenciada com base nos atributos verificáveis dela, como o ID do projeto ou o nome do recurso. Uma política de atestado de carga de trabalho garante que apenas cargas de trabalho confiáveis possam usar a identidade gerenciada.
É possível autorizar uma carga de trabalho a usar uma identidade de carga de trabalho gerenciada com base na conta de serviço anexada à carga de trabalho.
A seguir
Configure a autenticação de identidade da carga de trabalho gerenciada.
Saiba mais sobre como usar identidades de cargas de trabalho gerenciadas com as cargas de trabalho do Compute Engine.
Faça um teste
Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Comece a usar gratuitamente