通过托管式工作负载身份,您可以将经过严格证明的身份绑定到 Compute Engine 工作负载。Google Cloud 会预配从 Certificate Authority Service 颁发的 X.509 凭据,可以使用这些凭据通过双向 TLS (mTLS) 身份验证向其他工作负载可靠地验证您的工作负载的身份。
为实现这种互操作性,托管式工作负载身份基于Secure Production Identity Framework For Everyone (SPIFFE),它定义了一个框架和一组标准,用于识别和保护工作负载间的通信。在 SPIFFE 中,托管式工作负载身份使用 spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID 格式表示。
虽然托管式工作负载身份可用于向其他工作负载进行身份验证,但它们不能用于向 Google Cloud API 进行身份验证。
资源层次结构
托管式工作负载身份在工作负载身份池中定义,该池充当池中所有身份的信任边界。工作负载身份池构成了托管式工作负载身份的 SPIFFE 标识符的信任网域组件。我们建议为组织中的每个逻辑环境(例如开发环境、预演环境或生产环境)创建一个新池。
在工作负载身份池中,托管式工作负载身份被整理到称为“命名空间”的管理边界中。命名空间可帮助您整理和授予对相关 Workload Identity 的访问权限。
您必须先通过证明政策允许您的工作负载使用托管工作负载身份,然后才能向工作负载颁发托管式工作负载身份的凭据。通过工作负载证明政策,您可以根据工作负载的可验证属性(例如项目 ID 或资源名称)来定义可以向哪些工作负载颁发托管式工作负载身份的凭证。工作负载证明政策可确保只有可信工作负载才能使用托管式身份。
您可以根据附加到工作负载的服务账号授权工作负载使用托管式工作负载身份。