Identitas untuk workload

Google Cloud menyediakan jenis identitas berikut untuk beban kerja:

  • Workload Identity Federation dan Workload Identity Federation for GKE memungkinkan beban kerja Anda mengakses sebagian besar layanan Google Cloud menggunakan identitas gabungan yang diautentikasi melalui penyedia identitas eksternal (IdP). Setelah Google Cloud mengautentikasi identitas sebagai akun utama, akun utama dapat mengakses resource menggunakan peran IAM yang Anda berikan.

    Anda dapat menggunakan Workload Identity Federation dengan beban kerja di Google Cloud atau beban kerja eksternal yang berjalan di platform seperti AWS, Azure, GitHub, dan GitLab.

    Anda dapat menggunakan Workload Identity Federation untuk GKE dengan workload yang berjalan di cluster GKE untuk memberinya akses ke resource Google Cloud.

  • Akun layanan Google Cloud dapat bertindak sebagai identitas untuk beban kerja di lingkungan produksi. Alih-alih memberikan akses ke workload secara langsung, Anda dapat memberikan akses ke akun layanan, kemudian meminta workload menggunakan akun layanan sebagai identitasnya.

  • Workload Identity terkelola (Pratinjau) memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke beban kerja Compute Engine. Anda dapat menggunakan identitas workload terkelola untuk mengautentikasi workload ke workload lain menggunakan mutual TLS (mTLS), tetapi tidak dapat digunakan untuk mengautentikasi ke Google Cloud API.

Jenis identitas yang dapat Anda gunakan untuk workload dan cara Anda mengonfigurasinya bergantung pada tempat workload Anda berjalan.

Workload di Google Cloud

Jika menjalankan workload di Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload Anda:

  • Akun layanan terlampir
  • Workload Identity Federation for GKE (khusus untuk workload yang berjalan di Google Kubernetes Engine)
  • Identitas workload terkelola (khusus untuk workload yang berjalan di Compute Engine)
  • Kunci akun layanan

Akun layanan terlampir

Untuk beberapa resource Google Cloud, Anda dapat menentukan akun layanan yang dikelola pengguna yang digunakan resource sebagai identitas default. Proses ini disebut melampirkan akun layanan ke resource, atau mengaitkan akun layanan dengan resource. Saat kode yang berjalan pada resource mengakses layanan dan resource Google Cloud, kode tersebut akan menggunakan akun layanan yang terkait dengan resource tersebut sebagai identitasnya. Misalnya, jika Anda melampirkan akun layanan ke instance Compute Engine, dan aplikasi pada instance tersebut menggunakan library klien untuk memanggil Google Cloud API, aplikasi tersebut akan otomatis menggunakan akun layanan yang terpasang untuk autentikasi dan otorisasi.

Pada umumnya, Anda harus melampirkan akun layanan ke resource saat membuat resource tersebut. Setelah resource dibuat, Anda tidak dapat mengubah akun layanan yang dilampirkan ke resource tersebut. Instance Compute Engine dikecualikan untuk peraturan ini, Anda dapat mengubah akun layanan yang dilampirkan ke instance jika diperlukan.

Untuk mempelajari lebih lanjut, lihat Melampirkan akun layanan ke resource.

Workload Identity Federation for GKE

Untuk workload yang berjalan di GKE, Workload Identity Federation untuk GKE memungkinkan Anda memberikan peran IAM ke kumpulan akun utama yang berbeda dan terperinci, untuk setiap aplikasi di cluster Anda. Workload Identity Federation untuk GKE memungkinkan akun layanan Kubernetes di cluster GKE Anda mengakses resource Google Cloud secara langsung, dengan menggunakan Workforce Identity Federation, atau secara tidak langsung, dengan menggunakan peniruan identitas akun layanan IAM.

Dengan menggunakan akses resource langsung, Anda dapat memberikan peran IAM ke identitas akun layanan Kubernetes secara langsung di resource layanan Google Cloud. Sebagian besar Google Cloud API mendukung akses resource langsung. Namun, saat menggunakan federasi identitas, metode API tertentu mungkin memiliki batasan. Untuk daftar batasan ini, lihat Produk dan batasan yang didukung.

Sebagai alternatif, workload juga dapat menggunakan peniruan identitas akun layanan, dengan ServiceAccount Kubernetes yang dikonfigurasi terikat ke akun layanan IAM, yang berfungsi sebagai identitas saat mengakses Google Cloud API.

Untuk mempelajari Workload Identity Federation GKE untuk GKE lebih lanjut, lihat Workload Identity Federation for GKE.

Identitas workload terkelola

Identitas workload terkelola memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke beban kerja Compute Engine. Anda dapat menggunakan identitas workload terkelola untuk melakukan autentikasi workload ke workload lain menggunakan mTLS, tetapi tidak dapat digunakan untuk melakukan autentikasi ke Google Cloud API.

Untuk mempelajari identitas workload terkelola lebih lanjut, lihat Ringkasan identitas workload terkelola.

Untuk mempelajari lebih lanjut cara menggunakan identitas beban kerja terkelola dengan workload Compute Engine, lihat Mengautentikasi workload ke workload lain melalui mTLS.

Workload eksternal

Jika menjalankan workload di luar Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload Anda:

  • Workload Identity Federation
  • Kunci akun layanan

Workload Identity Federation

Workload Identity Federation memungkinkan Anda menggunakan kredensial dari penyedia identitas eksternal seperti AWS dan Azure Active Directory untuk membuat kredensial berumur pendek, yang dapat digunakan workload untuk meniru identitas akun layanan untuk sementara. Workload dapat mengakses resource Google Cloud, menggunakan akun layanan sebagai identitas mereka.

Workload Identity Federation adalah cara yang lebih disukai dalam mengonfigurasi identitas untuk workload eksternal.

Untuk mempelajari Workload Identity Federation lebih lanjut, lihat Workload Identity Federation.

Kunci akun layanan

Kunci akun layanan memungkinkan workload diautentikasi sebagai akun layanan, lalu menggunakan identitas akun layanan untuk otorisasi.

Pengembangan lokal

Jika melakukan pengembangan di lingkungan lokal, Anda dapat mengonfigurasi workload untuk menggunakan kredensial pengguna atau akun layanan untuk autentikasi dan otorisasi. Untuk mengetahui informasi selengkapnya, lihat Lingkungan pengembangan lokal dalam dokumentasi autentikasi.

Langkah selanjutnya