Questa pagina è stata tradotta dall'API Cloud Translation.

Identità per i carichi di lavoro

Google Cloud fornisce i seguenti tipi di identità per i carichi di lavoro:

Workload Identity Federation e Workload Identity Federation for GKE consentono ai tuoi carichi di lavoro di accedere alla maggior parte dei Google Cloud servizi utilizzando identità federate che vengono autenticati tramite un provider di identità (IdP) esterno. Dopo cheGoogle Cloud ha autenticato l'identità come entità, l'entità può accedere alle risorse utilizzando i ruoli IAM che concedi.

Puoi utilizzare la federazione delle identità per i carichi di lavoro con i carichi di lavoro suGoogle Cloud o esterni che vengono eseguiti su piattaforme come AWS, Azure, GitHub e GitLab.

Puoi utilizzare Workload Identity Federation for GKE con i carichi di lavoro in esecuzione nei cluster GKE per conceder loro l'accesso alle risorse Google Cloud.
I service account diGoogle Cloud possono fungere da identità per i workload negli ambienti di produzione. Anziché concedere l'accesso direttamente a un carico di lavoro, concedi l'accesso a un account di servizio e poi fai in modo che il carico di lavoro utilizzi l'account di servizio come identità.
Le identità di carico di lavoro gestite (anteprima) ti consentono di associare identità fortemente attestate ai carichi di lavoro Compute Engine. Puoi utilizzare le identità di workload gestite per autenticare i tuoi workload con altri workload utilizzando TLS reciproco (mTLS), ma non puoi utilizzarle per l'autenticazione alle API. Google Cloud

I tipi di identità che puoi utilizzare per i carichi di lavoro e il modo in cui li configurerai dipendono da dove vengono eseguiti.

Workload attivi su Google Cloud

Se esegui workload su Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità per i tuoi workload:

Service account collegati
Workload Identity Federation for GKE (solo per i workload in esecuzione su Google Kubernetes Engine)
Identità per i workload gestite (per i workload in esecuzione solo su Compute Engine)
Chiavi account di servizio

Service account collegati

Per alcune Google Cloud risorse, puoi specificare un account di servizio gestito dall'utente che la risorsa utilizza come identità predefinita. Questa procedura è nota come aggancio dell'account di servizio alla risorsa o associazione dell'account di servizio alla risorsa. Quando il codice in esecuzione sulla risorsa accede a servizi e risorse, utilizza l'account di servizio associato alla risorsa come identità. Google Cloud Ad esempio, se colleghi un account di servizio a un'istanza Compute Engine e le applicazioni nell'istanza utilizzano una libreria client per chiamare le API Google Cloud , queste applicazioni utilizzano automaticamente l'account di servizio collegato per l'autenticazione e l'autorizzazione.

Nella maggior parte dei casi, devi collegare un account di servizio a una risorsa quando la crei. Una volta creata la risorsa, non puoi modificare l'account di servizio collegato alla risorsa. Le istanze Compute Engine fanno eccezione a questa regola. Puoi modificare l'account di servizio associato a un'istanza in base alle tue esigenze.

Per scoprire di più, vedi Collegare un account di servizio a una risorsa.

Workload Identity Federation for GKE

Per i carichi di lavoro eseguiti su GKE, Workload Identity Federation per GKE ti consente di concedere ruoli IAM a insiemi distinti e granulari di entità per ogni applicazione nel cluster. La federazione delle identità per i carichi di lavoro per GKE consente agli account di servizio Kubernetes nel cluster GKE di accedere Google Cloud direttamente alle risorse utilizzando la federazione delle identità della forza lavoro o indirettamente utilizzando la simulazione dell'identità degli account di servizio IAM.

Utilizzando l'accesso diretto alle risorse, puoi concedere i ruoli IAM all'identità dell'account di servizio Kubernetes direttamente sulle risorse del Google Cloud servizio. La maggior parte delle Google Cloud API supporta l'accesso diretto alle risorse. Tuttavia, quando utilizzi la federazione delle identità, alcuni metodi API potrebbero avere limitazioni. Per un elenco di queste limitazioni, consulta Prodotti supportati e limitazioni.

In alternativa, i carichi di lavoro possono utilizzare anche l'impersonificazione dell'account di servizio, in cui l'account di servizio Kubernetes configurato è associato a un account di servizio IAM, che funge da identità per l'accesso alle API. Google Cloud

Per scoprire di più su Workload Identity Federation for GKE, consulta Workload Identity Federation for GKE.

Identità dei workload gestiti

Le identità del carico di lavoro gestite ti consentono di associare identità fortemente attestate ai tuoi carichi di lavoro Compute Engine. Puoi utilizzare le identità dei carichi di lavoro gestiti per autenticare i tuoi carichi di lavoro con altri carichi di lavoro utilizzando mTLS, ma non puoi utilizzarle per l'autenticazione alle API Google Cloud .

Per scoprire di più sulle identità del workload gestite, consulta Panoramica delle identità del workload gestite.

Per scoprire di più sull'utilizzo delle identità di carico di lavoro gestite con i carichi di lavoro Compute Engine, consulta Autenticare i carichi di lavoro con altri carichi di lavoro tramite mTLS.

Workload esterni

Se esegui workload al di fuori di Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità per i tuoi workload:

Federazione delle identità per i workload
Chiavi account di servizio

Federazione delle identità per i workload

La federazione delle identità dei carichi di lavoro ti consente di utilizzare le credenziali di provider di identità esterni come AWS e Azure Active Directory per generare credenziali di breve durata, che i carichi di lavoro possono utilizzare per rubare temporaneamente l'identità degli account di servizio. I carichi di lavoro possono quindi accedere alle risorse Google Cloud utilizzando l'account di servizio come identità.

La federazione delle identità per i carichi di lavoro è il modo migliore per configurare le identità per i carichi di lavoro esterni.

Per scoprire di più sulla federazione di Workload Identity, consulta Federazione di Workload Identity.

Chiavi account di servizio

Una chiave dell'account di servizio consente a un carico di lavoro di autenticarsi come account di servizio e poi di utilizzare l'identità dell'account di servizio per l'autorizzazione.

Nota: le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi effettuare l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte dalle best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del account di servizio, la creazione di chiavi del account di servizio potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Se hai acquisito la chiave dell'account di servizio da una fonte esterna, devi convalidarla prima dell'utilizzo. Per ulteriori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.

Sviluppo locale

Se esegui lo sviluppo in un ambiente locale, puoi configurare i carichi di lavoro in modo che utilizzino le tue credenziali utente o un account di servizio per l'autenticazione e l'autorizzazione. Per ulteriori informazioni, consulta Ambiente di sviluppo locale nella documentazione sull'autenticazione.

Passaggi successivi

Scopri come configurare l'autenticazione utilizzando gli account di servizio.
Scopri come configurare l'autenticazione per un ambiente di sviluppo locale.
Scopri come concedere agli account di servizio l'accesso alle risorse.