Workload identity terkelola memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke workload Compute Engine. Google Cloud menyediakan kredensial X.509 yang dikeluarkan dari Layanan Otoritas Sertifikasi yang dapat digunakan untuk mengautentikasi workload Anda dengan workload lain secara andal melalui autentikasi TLS (mTLS) bersama.
Untuk mencapai interoperabilitas ini, identitas workload terkelola didasarkan pada
Secure Production Identity Framework For Everyone
(SPIFFE),
yang menentukan framework dan kumpulan standar untuk mengidentifikasi dan mengamankan
komunikasi antar-workload. Di SPIFFE, identitas workload terkelola
diwakili menggunakan format
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID.
Meskipun identitas workload terkelola dapat digunakan untuk autentikasi ke beban kerja lain, identitas tersebut tidak dapat digunakan untuk mengautentikasi ke Google Cloud API.
Hierarki resource
Identitas beban kerja terkelola ditentukan dalam workload identity pool, yang berfungsi sebagai batas kepercayaan untuk semua identitas dalam kumpulan. Kumpulan identitas beban kerja membentuk komponen domain kepercayaan dari ID SPIFFE identitas beban kerja terkelola. Sebaiknya buat kumpulan baru untuk setiap lingkungan logis di organisasi Anda, seperti pengembangan, staging, atau produksi.
Dalam workload identity pool, identitas workload terkelola diatur ke dalam batas administratif yang disebut namespace. Namespace membantu Anda mengatur dan memberikan akses ke workload identity terkait.
Anda harus mengizinkan workload menggunakan workload identity terkelola menggunakan kebijakan pengesahan sebelum workload dapat diberi kredensial untuk workload identity terkelola. Kebijakan pengesahan beban kerja memungkinkan Anda menentukan workload mana yang dapat diberi kredensial untuk identitas beban kerja terkelola berdasarkan atribut beban kerja yang dapat diverifikasi, seperti ID project atau nama resource. Kebijakan pengesahan beban kerja memastikan bahwa hanya beban kerja tepercaya yang dapat menggunakan identitas terkelola.
Anda dapat memberikan otorisasi ke workload untuk menggunakan workload identity terkelola berdasarkan akun layanan yang disertakan ke workload.
Langkah berikutnya
Pelajari lebih lanjut cara menggunakan identitas beban kerja terkelola dengan beban kerja Compute Engine.
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis