Présentation des identités de charge de travail gérées

Les identités de charge de travail gérées vous permettent d'associer des identités fortement certifiées à vos charges de travail Compute Engine. Google Cloud provisionne des identifiants X.509 émis par Certificate Authority Service et pouvant être utilisés pour authentifier de manière fiable votre charge de travail avec d'autres charges de travail via l'authentification TLS mutuel (mTLS).

Pour réaliser cette interopérabilité, les identités de charge de travail gérées sont basées surSecure Production Identity Framework for Everyone (SPIFFE), qui définit un framework et un ensemble de normes permettant d'identifier et de sécuriser les communications entre les charges de travail. Dans SPIFFE, une identité de charge de travail gérée est représentée au format spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID.

Bien que les identités de charge de travail gérées puissent être utilisées pour l'authentification auprès d'autres charges de travail, elles ne peuvent pas être utilisées pour l'authentification auprès des API Google Cloud.

Hiérarchie des ressources

Les identités de charge de travail gérées sont définies dans un pool d'identités de charge de travail, qui agit comme une limite de confiance pour toutes les identités du pool. Le pool d'identités de charge de travail constitue le composant de domaine de confiance de l'identifiant SPIFFE de l'identité de charge de travail gérée. Nous vous recommandons de créer un pool pour chaque environnement logique de votre organisation, par exemple pour le développement, la préproduction ou la production.

Dans un pool d'identités de charge de travail, les identités de charge de travail gérées sont organisées en limites administratives appelées espaces de noms. Les espaces de noms vous aident à organiser et à accorder l'accès aux identités de charge de travail associées.

Vous devez autoriser votre charge de travail à utiliser une identité de charge de travail gérée à l'aide d'une règle d'attestation avant que la charge de travail ne puisse recevoir des identifiants pour l'identité de charge de travail gérée. Les règles d'attestation de charge de travail vous permettent de définir la charge de travail qui peut recevoir un identifiant pour une identité de charge de travail gérée en fonction des attributs vérifiables de la charge de travail, tels que l'ID du projet ou le nom de la ressource. Une règle d'attestation de charge de travail garantit que seules les charges de travail de confiance peuvent utiliser l'identité gérée.

Vous pouvez autoriser une charge de travail à utiliser une identité de charge de travail gérée basée sur le compte de service associé à la charge de travail.

Étapes suivantes

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Essai gratuit