Le identità del carico di lavoro gestite ti consentono di associare identità fortemente attestate ai tuoi carichi di lavoro Compute Engine. Google Cloud esegue il provisioning delle credenziali X.509 emesse di Certificate Authority Service che può essere utilizzato per di autenticare il carico di lavoro con altri carichi di lavoro mTLS (mutual TLS).
Per ottenere questa interoperabilità, le identità dei carichi di lavoro gestiti si basano su
Secure Production Identity Framework For Everyone
(SPIFFE),
che definisce un framework e un insieme di standard per identificare e proteggere
le comunicazioni tra i carichi di lavoro. In SPIFFE, un'identità per i carichi di lavoro gestita è rappresentata utilizzando il formatospiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
.
Sebbene le identità dei carichi di lavoro gestite possano essere utilizzate per l'autenticazione ad altri carichi di lavoro, non possono essere utilizzate per l'autenticazione alle API Google Cloud.
Gerarchia delle risorse
Le identità dei carichi di lavoro gestiti sono definite all'interno di un pool di identità per i carichi di lavoro, che funge da confine di attendibilità per tutte le identità all'interno del pool. Il carico di lavoro Il pool di identità costituisce il componente del dominio attendibile del carico di lavoro gestito. identificatore SPIFFE dell'identità. Consigliamo di creare un nuovo pool per ogni espressione logica di sviluppo, gestione temporanea o produzione.
All'interno di un pool di identità per i carichi di lavoro, le identità per i carichi di lavoro gestite sono organizzate in confini amministrativi chiamati spazi dei nomi. Gli spazi dei nomi ti aiutano di organizzare e concedere l'accesso alle identità dei carichi di lavoro correlati.
Devi consentire al tuo carico di lavoro di utilizzare un'identità di carico di lavoro gestita utilizzando un criterio di attestazione prima che possano essere emesse le credenziali per l'identità di carico di lavoro gestita. I criteri di attestazione del carico di lavoro ti consentono di definire a quale caricamento di lavoro può essere emessa una credenziale per un'identità di carico di lavoro gestita in base agli attributi verificabili del caricamento di lavoro, come l'ID progetto o il nome della risorsa. R il criterio di attestazione dei carichi di lavoro garantisce che solo i carichi di lavoro attendibili possano utilizzare e identità gestita.
Puoi autorizzare un carico di lavoro a utilizzare un'identità per i carichi di lavoro gestita in base all'account di servizio collegato al carico di lavoro.
Passaggi successivi
Configura l'autenticazione delle identità per i carichi di lavoro gestite.
Scopri di più sull'utilizzo delle identità di carico di lavoro gestite con i carichi di lavoro Compute Engine.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente