Présentation des identités de charge de travail gérées
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Les identités de charge de travail gérées vous permettent d'associer des identités fortement certifiées à vos charges de travail Google Kubernetes Engine (GKE) et Compute Engine.
Google Cloud provisionne les identifiants X.509 et les ancres de confiance émis par Certificate Authority Service. Les identifiants et les ancres de confiance peuvent être utilisés pour authentifier de manière fiable votre charge de travail avec d'autres charges de travail via l'authentification TLS mutuel (mTLS).
Pour permettre l'interopérabilité dans des environnements dynamiques et hétérogènes, les identités de charge de travail gérées sont basées sur Secure Production Identity Framework for Everyone (SPIFFE).
SPIFFE définit un framework et un ensemble de normes permettant d'identifier, d'authentifier et de sécuriser les communications entre les charges de travail. Les charges de travail SPIFFE sont identifiées par un ID SPIFFE unique. Dans Google Cloud, un ID SPIFFE peut se présenter sous les formats suivants :
Cette section décrit les ressources d'identité de charge de travail gérées.
Pools d'identités de charge de travail
Les identités de charge de travail gérées sont définies dans un pool d'identités de charge de travail, qui sert de limite de confiance pour toutes les identités du pool. Le pool d'identités de charge de travail constitue le composant de domaine de confiance de l'identifiant SPIFFE de l'identité de charge de travail gérée. Nous vous recommandons de créer un pool pour chaque environnement logique de votre organisation, comme le développement, la préproduction ou la production.
Espaces de noms
Dans un pool d'identités de charge de travail, les identités de charge de travail gérées sont organisées en limites administratives appelées espaces de noms. Les espaces de noms vous aident à organiser les identités de charge de travail associées et à leur accorder l'accès.
Règles d'attestation
L'identité de charge de travail gérée pour Compute Engine nécessite la configuration de règles d'attestation.
L'identité de charge de travail gérée pour GKE gère les règles d'attestation pour vous.
Les règles d'attestation de charge de travail vous permettent de définir la charge de travail qui peut recevoir un identifiant pour une identité de charge de travail gérée en fonction des attributs vérifiables de la charge de travail, tels que l'ID du projet ou le nom de la ressource. Une règle d'attestation de charge de travail garantit que seules les charges de travail approuvées peuvent utiliser l'identité gérée.
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/11 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/11 (UTC)."],[[["\u003cp\u003eManaged workload identities bind strongly attested identities to Compute Engine workloads, enabling reliable authentication with other workloads via mutual TLS (mTLS).\u003c/p\u003e\n"],["\u003cp\u003eThese identities are provisioned with X.509 credentials from Certificate Authority Service and adhere to the Secure Production Identity Framework For Everyone (SPIFFE) standards.\u003c/p\u003e\n"],["\u003cp\u003eManaged workload identities cannot authenticate with Google Cloud APIs, but they are structured within workload identity pools, which establish trust boundaries for identities.\u003c/p\u003e\n"],["\u003cp\u003eWorkload attestation policies are required to ensure only trusted workloads can use a managed identity by defining which workloads can obtain credentials based on their verifiable attributes.\u003c/p\u003e\n"],["\u003cp\u003eNamespaces are used within a pool to organize workload identities and create administrative boundaries, to help grant access to related identities.\u003c/p\u003e\n"]]],[],null,["# Managed workload identities overview\n\n| **Preview**\n|\n|\n| This feature is subject to the \"Pre-GA Offerings Terms\" in the\n| General Service Terms section of the\n| [Service Specific Terms](/terms/service-terms#1).\n| Pre-GA features are available \"as is\" and might have limited support. For more\n| information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\nManaged workload identities lets you bind strongly attested identities to your\nGoogle Kubernetes Engine (GKE) and Compute Engine workloads.\n\nGoogle Cloud provisions X.509 credentials and trust anchors that are issued from\n[Certificate Authority Service](/certificate-authority-service). The credentials and\ntrust anchors can be used to reliably authenticate your workload with other\nworkloads through [mutual TLS (mTLS)](/chrome-enterprise-premium/docs/understand-mtls)\nauthentication.\n\nManaged workload identities for GKE is available in [Preview](/products#product-launch-stages).\nManaged workload identities for Compute Engine is available in [Preview](/products#product-launch-stages),\nby request. [Request access to the managed workload identities for Compute Engine Preview](https://forms.gle/KC1Lq77gMn3kTtWDA).\n\nSPIFFE interoperability\n-----------------------\n\nTo enable interoperability across dynamic and heterogeneous environments,\nmanaged workload identities is based on [Secure Production Identity Framework For Everyone (SPIFFE)](https://spiffe.io/docs/latest/spiffe-about/spiffe-concepts/).\nSPIFFE defines a framework and set of standards for identifying, authenticating,\nand securing communications between workloads. SPIFFE workloads are identified\nby a unique SPIFFE ID. In Google Cloud, a SPIFFE ID has the following\nformats:\n\n- Compute Engine workloads:\n\n `spiffe://`\u003cvar translate=\"no\"\u003ePOOL_ID\u003c/var\u003e`.global.`\u003cvar translate=\"no\"\u003ePROJECT_NUMBER\u003c/var\u003e`.workload.id.goog/ns/`\u003cvar translate=\"no\"\u003eNAMESPACE_ID\u003c/var\u003e`/sa/`\u003cvar translate=\"no\"\u003eMANAGED_IDENTITY_ID\u003c/var\u003e\n- GKE workloads:\n\n `spiffe://`\u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e`.svc.id.goog/ns/`\u003cvar translate=\"no\"\u003eKUBERNETES_NAMESPACE\u003c/var\u003e`/sa/`\u003cvar translate=\"no\"\u003eKUBERNETES_SERVICE_ACCOUNT\u003c/var\u003e\n\nResource hierarchy\n------------------\n\nThis section describes managed workload identity resources.\n\n### Workload identity pools\n\nManaged workload identities are defined within a *workload identity pool*,\nwhich acts as a trust boundary for all identities within the pool. The workload\nidentity pool forms the trust domain component of the managed workload\nidentity's SPIFFE identifier. We recommend creating a new pool for each logical\nenvironment in your organization, such as development, staging, or production.\n\n### Namespaces\n\nWithin a workload identity pool, managed workload identities are organized\ninto administrative boundaries called *namespaces*. Namespaces help you\norganize and grant access to related workload identities.\n\n### Attestation policies\n\nManaged workload identity for Compute Engine requires that you configure\n*attestation policies*.\n\nManaged workload identity for GKE manages attestation policies\nfor you.\n\nWorkload attestation policies let you define which workload can be issued a\ncredential for a managed workload identity based on the workload's verifiable\nattributes, such as project ID or resource name. A workload attestation policy\nensures that only trusted workloads can use the managed identity.\n\nWhat's next\n-----------\n\n- [Configure managed workload identity authentication for Compute Engine](/iam/docs/create-managed-workload-identities).\n\n- [Configure managed workload identity authentication for GKE](/iam/docs/create-managed-workload-identities-gke).\n\n- Learn more about [using managed workload identities with Compute Engine\n workloads](/compute/docs/access/authenticate-workloads-over-mtls).\n\nTry it for yourself\n-------------------\n\n\nIf you're new to Google Cloud, create an account to evaluate how our\nproducts perform in real-world scenarios. New customers also get $300 in\nfree credits to run, test, and deploy workloads.\n[Get started for free](https://console.cloud.google.com/freetrial)"]]
