Le identità dei carichi di lavoro gestiti consentono di associare identità attestate da Compute Engine ai carichi di lavoro di Compute Engine. Google Cloud fornisce credenziali X.509 emesse da Certificate Authority Service che possono essere utilizzate per autenticare in modo affidabile il carico di lavoro con altri carichi di lavoro tramite l'autenticazione mTLS reciproca (mTLS).
Per raggiungere questa interoperabilità, le identità dei carichi di lavoro gestiti si basano su SPIFFE (Secure Production Identity Framework For Tutti), che definisce un framework e una serie di standard per identificare e proteggere le comunicazioni tra i carichi di lavoro. In SPIFFE, un'identità del carico di lavoro gestita viene rappresentata utilizzando il formato spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID.
Sebbene le identità dei carichi di lavoro gestiti possano essere utilizzate per l'autenticazione in altri carichi di lavoro, non possono essere utilizzate per l'autenticazione nelle API Google Cloud.
Gerarchia delle risorse
Le identità dei carichi di lavoro gestiti sono definite all'interno di un pool di identità per carichi di lavoro, che funge da confine di attendibilità per tutte le identità all'interno del pool. Il pool di identità per i carichi di lavoro forma il componente del dominio di attendibilità dell'identificatore SPIFFE di Workload Identity gestito. Ti consigliamo di creare un nuovo pool per ogni ambiente logico della tua organizzazione, ad esempio sviluppo, gestione temporanea o produzione.
All'interno di un pool di identità per i carichi di lavoro, le identità dei carichi di lavoro gestite sono organizzate in confini amministrativi chiamati spazi dei nomi. Gli spazi dei nomi consentono di organizzare e concedere l'accesso alle identità dei carichi di lavoro correlate.
Devi consentire al carico di lavoro di utilizzare un'identità del carico di lavoro gestita mediante un criterio di attestazione prima che al carico di lavoro possano essere assegnate le credenziali per l'identità del carico di lavoro gestito. I criteri di attestazione dei carichi di lavoro consentono di definire a quale carico di lavoro può essere inviata una credenziale per un'identità del carico di lavoro gestita in base agli attributi verificabili del carico di lavoro, come l'ID progetto o il nome della risorsa. Un criterio di attestazione dei carichi di lavoro garantisce che solo i carichi di lavoro attendibili possano utilizzare l'identità gestita.
Puoi autorizzare un carico di lavoro a utilizzare un'identità del carico di lavoro gestita in base all'account di servizio collegato al carico di lavoro.
Passaggi successivi
Scopri di più sull'utilizzo delle identità dei carichi di lavoro gestite con i carichi di lavoro di Compute Engine.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente