Las identidades para cargas de trabajo administradas te permiten vincular identidades certificadas a tus cargas de trabajo de Compute Engine. Google Cloud aprovisiona credenciales X.509 emitidas desde Certificate Authority Service, que se puede usar para autenticar de forma confiable tu carga de trabajo con otras cargas de trabajo en la autenticación TLS mutua (mTLS).
Para lograr esta interoperabilidad, las identidades para cargas de trabajo administradas se basan en el
Framework de identidad de producción segura para todos (SPIFFE),
que define un framework y un conjunto de estándares para identificar y proteger
las comunicaciones entre cargas de trabajo. En el SPIFFE, una identidad de carga de trabajo administrada se representa con el formato
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
.
Aunque las identidades para cargas de trabajo administradas se pueden usar para la autenticación de otras cargas de trabajo, no se pueden usar en la autenticación en las APIs de Google Cloud.
Jerarquía de recursos
Las identidades para cargas de trabajo administradas se definen dentro de un grupo de identidades para cargas de trabajo, que actúa como un límite de confianza para todas las identidades dentro del grupo. El grupo de identidades para cargas de trabajo forma el componente de dominio de confianza del identificador SPIFFE de la identidad de trabajo administrada. Te recomendamos crear un grupo nuevo para cada entorno lógico de tu organización, como desarrollo, etapa de pruebas o producción.
Dentro de un grupo de identidades para cargas de trabajo, las identidades de cargas de trabajo administradas se organizan en límites administrativos llamados espacios de nombres. Los espacios de nombres te ayudan a organizar y otorgar acceso a las identidades para cargas de trabajo relacionadas.
Debes permitir que tu carga de trabajo use una identidad de carga de trabajo administrada a través de una política de certificación antes de que se puedan emitir credenciales para la identidad de carga de trabajo administrada. Las políticas de certificación de cargas de trabajo te permiten definir a qué carga de trabajo se le puede emitir una credencial para una identidad de carga de trabajo administrada según los atributos verificables de la carga de trabajo, como el ID del proyecto o el nombre del recurso. Una política de certificación de carga de trabajo garantiza que solo las cargas de trabajo de confianza puedan usar la identidad administrada.
Puedes autorizar una carga de trabajo para que use una identidad para cargas de trabajo administradas según la cuenta de servicio que está conectada a la carga de trabajo.
¿Qué sigue?
Configura la autenticación para cargas de trabajo administradas.
Obtén más información sobre cómo usar identidades para cargas de trabajo administradas con cargas de trabajo de Compute Engine.
Pruébalo tú mismo
Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
Comenzar gratis