Mit verwalteten Arbeitslastidentitäten können Sie stark zertifizierte Identitäten an Ihre Compute Engine-Arbeitslasten binden. Google Cloud stellt X.509-Anmeldedaten zur Verfügung, die vom Certificate Authority Service ausgestellt werden und mit denen Sie Ihre Arbeitslasten über gegenseitige TLS-Authentifizierung (mTLS) zuverlässig mit anderen Arbeitslasten authentifizieren können.
Um diese Interoperabilität zu erreichen, basieren verwaltete Arbeitslastidentitäten auf dem Secure Production Identity Framework for Everyone (SPIFFE), das ein Framework und eine Reihe von Standards zur Identifizierung und Sicherung der Kommunikation zwischen Arbeitslasten definiert. In SPIFFE wird eine verwaltete Workload Identity im Format spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID dargestellt.
Verwaltete Arbeitslastidentitäten können zwar zur Authentifizierung bei anderen Arbeitslasten verwendet werden, aber nicht für die Authentifizierung bei Google Cloud APIs.
Ressourcenhierarchie
Verwaltete Workload Identities werden in einem Workload Identity-Pool definiert, der als Vertrauensgrenze für alle Identitäten innerhalb des Pools fungiert. Der Workload Identity-Pool bildet die vertrauenswürdige Domainkomponente der SPIFFE-Kennung der verwalteten Workload Identity. Wir empfehlen, für jede logische Umgebung in Ihrer Organisation einen neuen Pool zu erstellen, z. B. für Entwicklung, Staging oder Produktion.
Innerhalb eines Workload Identity-Pools sind verwaltete Workload Identitys in administrativen Grenzen organisiert, die als Namespaces bezeichnet werden. Mit Namespaces können Sie zugehörige Arbeitslastidentitäten organisieren und Zugriff darauf gewähren.
Sie müssen Ihrer Arbeitslast mithilfe einer Attestierungsrichtlinie die Verwendung einer verwalteten Workload Identity erlauben, bevor für die Arbeitslast Anmeldedaten für die verwaltete Workload Identity ausgestellt werden können. Mit den Richtlinien zur Attestierung von Arbeitslasten können Sie festlegen, für welche Arbeitslasten Anmeldedaten für eine verwaltete Arbeitslastidentität auf der Grundlage der überprüfbaren Attribute der Arbeitslast, wie z.B. Projekt-ID oder Ressourcenname, ausgestellt werden können. Eine Attestierungsrichtlinie für Arbeitslasten sorgt dafür, dass nur vertrauenswürdige Arbeitslasten die verwaltete Identität verwenden können.
Sie können eine Arbeitslast autorisieren, eine verwaltete Workload Identity basierend auf dem Dienstkonto zu verwenden, das an die Arbeitslast angehängt ist.
Nächste Schritte
Authentifizierung von Managed Workload Identity konfigurieren
Verwaltete Arbeitslastidentitäten mit Compute Engine-Arbeitslasten verwenden
Überzeugen Sie sich selbst
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten