Dengan identitas workload terkelola, Anda dapat mengikat identitas yang telah disahkan dengan kuat ke workload Compute Engine. Google Cloud menyediakan kredensial X.509 yang dikeluarkan dari Certificate Authority Service, yang dapat digunakan untuk mengautentikasi workload Anda secara andal dengan workload lain melalui autentikasi TLS (mTLS).
Untuk mencapai interoperabilitas ini, identitas workload terkelola didasarkan pada Secure Production Identity Framework For Everyone (SPIFFE), yang menentukan framework dan serangkaian standar untuk mengidentifikasi serta mengamankan komunikasi antar-beban kerja. Di SPIFFE, identitas workload terkelola
diwakili menggunakan format
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
.
Meskipun identitas beban kerja terkelola dapat digunakan untuk autentikasi ke workload lain, identitas tersebut tidak dapat digunakan untuk mengautentikasi ke Google Cloud API.
Hierarki resource
Identitas workload terkelola ditentukan dalam kumpulan identitas workload, yang berfungsi sebagai batas kepercayaan untuk semua identitas dalam kumpulan. Kumpulan identitas workload membentuk komponen domain kepercayaan dari ID SPIFFE identitas workload terkelola. Sebaiknya buat kumpulan baru untuk setiap lingkungan logis di organisasi Anda, seperti pengembangan, staging, atau produksi.
Dalam kumpulan identitas workload, identitas workload yang terkelola disusun ke dalam batas-batas administratif yang disebut namespace. Namespace membantu Anda mengatur dan memberikan akses ke identitas workload yang terkait.
Anda harus mengizinkan beban kerja untuk menggunakan identitas beban kerja terkelola menggunakan kebijakan pengesahan sebelum beban kerja dapat diberi kredensial untuk identitas beban kerja terkelola. Kebijakan pengesahan beban kerja memungkinkan Anda menentukan beban kerja mana yang dapat diberi kredensial untuk identitas workload terkelola berdasarkan atribut beban kerja yang dapat diverifikasi, seperti project ID atau nama resource. Kebijakan pengesahan workload memastikan bahwa hanya workload tepercaya yang dapat menggunakan identitas terkelola.
Anda dapat mengizinkan beban kerja untuk menggunakan identitas beban kerja terkelola berdasarkan akun layanan yang terlampir ke beban kerja.
Langkah selanjutnya
Pelajari lebih lanjut cara menggunakan identitas workload terkelola dengan workload Compute Engine.
Cobalah sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis