Identitas workload terkelola memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke beban kerja Compute Engine. Google Cloud menyediakan kredensial X.509 yang dikeluarkan dari Certificate Authority Service yang dapat digunakan untuk mengautentikasi beban kerja Anda dengan beban kerja lain secara andal melalui autentikasi mutual TLS (mTLS).
Untuk mencapai interoperabilitas ini, identitas workload terkelola didasarkan pada
Secure Production Identity Framework For Everyone
(SPIFFE),
yang menentukan framework dan kumpulan standar untuk mengidentifikasi dan mengamankan
komunikasi antar-workload. Di SPIFFE, identitas workload terkelola
diwakili menggunakan format
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID.
Meskipun identitas workload terkelola dapat digunakan untuk autentikasi ke workload lain, identitas tersebut tidak dapat digunakan untuk mengautentikasi ke Google Cloud API.
Hierarki resource
Identitas beban kerja terkelola ditentukan dalam workload identity pool, yang berfungsi sebagai batas kepercayaan untuk semua identitas dalam kumpulan. Kumpulan identitas beban kerja membentuk komponen domain kepercayaan dari ID SPIFFE identitas beban kerja terkelola. Sebaiknya buat kumpulan baru untuk setiap lingkungan logis di organisasi Anda, seperti pengembangan, staging, atau produksi.
Dalam workload identity pool, identitas workload terkelola diatur ke dalam batas administratif yang disebut namespaces. Namespace membantu Anda mengatur dan memberikan akses ke workload identity terkait.
Anda harus mengizinkan workload menggunakan workload identity terkelola menggunakan kebijakan pengesahan sebelum workload dapat diberi kredensial untuk workload identity terkelola. Kebijakan pengesahan beban kerja memungkinkan Anda menentukan workload mana yang dapat diberi kredensial untuk identitas beban kerja terkelola berdasarkan atribut beban kerja yang dapat diverifikasi, seperti project ID atau nama resource. Kebijakan pengesahan beban kerja memastikan bahwa hanya beban kerja tepercaya yang dapat menggunakan identitas terkelola.
Anda dapat memberikan otorisasi ke workload untuk menggunakan workload identity terkelola berdasarkan akun layanan yang disertakan ke workload.
Langkah selanjutnya
Pelajari lebih lanjut cara menggunakan identitas beban kerja terkelola dengan beban kerja Compute Engine.
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis