Google Cloud fournit des comptes de service qui agissent en tant qu'identités pour les charges de travail dans les environnements de production. Au lieu d'accorder directement l'accès à une charge de travail, vous accordez l'accès à un compte de service, puis la charge de travail utilise le compte de service comme identité.
Il existe plusieurs façons de configurer des comptes de service en tant qu'identités pour les charges de travail. Les méthodes à utiliser dépendent de l'emplacement d'exécution de vos charges de travail.
Charges de travail sur Google Cloud
Si vous exécutez des charges de travail sur Google Cloud, vous pouvez utiliser les méthodes suivantes pour configurer les identités de vos charges de travail :
- Comptes de service associés
- Identités de charge de travail gérées (pour les charges de travail exécutées sur Compute Engine uniquement)
- Workload Identity (pour les charges de travail exécutées sur Google Kubernetes Engine uniquement)
- Clés de compte de service
Comptes de service associés
Pour certaines ressources Google Cloud, vous pouvez spécifier un compte de service géré par l'utilisateur que la ressource utilise comme identité par défaut. Ce processus est appelé liaison du compte de service à la ressource, ou association du compte de service à la ressource.
Lorsque du code exécuté sur la ressource accède aux services et aux ressources Google Cloud, il utilise le compte de service associé à la ressource comme identité. Par exemple, si vous associez un compte de service à une instance Compute Engine et que les applications de l'instance utilisent une bibliothèque cliente pour appeler les API Google Cloud, ces applications utilisent automatiquement le compte de service associé pour l'authentification et l'autorisation.
Dans la plupart des cas, vous devez associer un compte de service à une ressource lorsque vous créez cette ressource. Une fois la ressource créée, vous ne pouvez pas modifier le compte de service qui lui est associé. Les instances Compute Engine font exception à cette règle : si nécessaire, vous pouvez modifier le compte de service associé à une instance.
Pour en savoir plus, consultez Associer un compte de service à une ressource.
Identités de charge de travail gérées
Les identités de charge de travail gérées vous permettent d'associer des identités fortement certifiées à vos charges de travail Compute Engine. Vous pouvez utiliser des identités de charge de travail gérées pour authentifier vos charges de travail auprès d'autres charges de travail à l'aide de mTLS, mais elles ne peuvent pas être utilisées pour l'authentification auprès des API Google Cloud.
Pour en savoir plus sur l'identité de charge de travail gérée, consultez la Présentation des identités de charge de travail gérées.
Pour en savoir plus sur l'utilisation des identités de charge de travail gérées avec les charges de travail Compute Engine, consultez la page Authentifier les charges de travail auprès d'autres charges de travail via mTLS.
GKE Workload Identity
Pour les charges de travail exécutées sur GKE, Workload Identity permet à un compte de service Kubernetes de votre cluster GKE d'agir en tant que compte de service IAM. Les pods qui utilisent le compte de service Kubernetes configuré utilisent automatiquement le compte de service IAM comme identité pour accéder aux API Google Cloud. L'utilisation de Workload Identity vous permet d'attribuer des identités et des autorisations distinctes et précises pour chaque application de votre cluster.
Pour en savoir plus sur GKE Workload Identity, consultez la page Fédération d'identité de charge de travail pour GKE.
Clés de compte de service
Une clé de compte de service permet à une charge de travail de s'authentifier en tant que compte de service, puis d'utiliser l'identité du compte de service pour l'autorisation. Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites sur la page Bonnes pratiques pour gérer les clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, il se peut que la création de clés de compte de service soit désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Charges de travail externes
Si vous exécutez des charges de travail en dehors de Google Cloud, vous pouvez utiliser les méthodes suivantes pour configurer des identités pour vos charges de travail :
- Fédération d'identité de charge de travail
- Clés de compte de service
Fédération d'identité de charge de travail
La fédération d'identité de charge de travail vous permet d'utiliser des identifiants de fournisseurs d'identité externes tels qu'AWS et Azure Active Directory pour générer des identifiants éphémères, qui permettent aux charges de travail d'emprunter l'identité des comptes de service de manière temporaire. Les charges de travail peuvent ensuite accéder aux ressources Google Cloud en utilisant le compte de service comme identité.
La fédération d'identité de charge de travail est la méthode privilégiée pour configurer les identités pour les charges de travail externes.
Pour en savoir plus sur la fédération d'identité de charge de travail, consultez la page Fédération d'identité de charge de travail.
Clés de compte de service
Une clé de compte de service permet à une charge de travail de s'authentifier en tant que compte de service, puis d'utiliser l'identité du compte de service pour l'autorisation. Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites sur la page Bonnes pratiques pour gérer les clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, il se peut que la création de clés de compte de service soit désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Développement local
Si vous développez dans un environnement local, vous pouvez configurer des charges de travail pour qu'elles utilisent vos identifiants utilisateur pour l'authentification et l'autorisation. Pour en savoir plus, consultez la section Environnement de développement local dans la documentation d'authentification.
Étapes suivantes
- Découvrez comment configurer l'authentification à l'aide de comptes de service.
- Découvrez comment configurer l'authentification pour un environnement de développement local.
- Découvrez comment accorder aux comptes de service l'accès aux ressources.