Identità per i carichi di lavoro

Google Cloud fornisce account di servizio che fungono da identità per i carichi di lavoro negli ambienti di produzione. Anziché concedere direttamente l'accesso a un carico di lavoro, concedi l'accesso a un account di servizio e poi il carico di lavoro utilizzerà l'account di servizio come identità.

Esistono diversi modi per configurare gli account di servizio come identità per i carichi di lavoro. I metodi che puoi utilizzare dipendono da dove sono in esecuzione i carichi di lavoro.

Carichi di lavoro su Google Cloud

Se esegui carichi di lavoro su Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità per i tuoi carichi di lavoro:

Account di servizio collegati
Identità dei carichi di lavoro gestiti (solo per carichi di lavoro eseguiti su Compute Engine)
Workload Identity (solo per carichi di lavoro eseguiti su Google Kubernetes Engine)
Chiavi account di servizio

Account di servizio collegati

Per alcune risorse Google Cloud, puoi specificare un account di servizio gestito dall'utente che la risorsa utilizza come identità predefinita. Questo processo è noto come collegamento dell'account di servizio alla risorsa o associazione dell'account di servizio alla risorsa.

Quando il codice in esecuzione sulla risorsa accede a servizi e risorse Google Cloud, utilizza l'account di servizio collegato alla risorsa come identità. Ad esempio, se associ un account di servizio a un'istanza di Compute Engine e le applicazioni nell'istanza utilizzano una libreria client per chiamare le API Google Cloud, queste applicazioni utilizzano automaticamente l'account di servizio collegato per l'autenticazione e l'autorizzazione.

Nella maggior parte dei casi, devi collegare un account di servizio a una risorsa quando la crei. Dopo aver creato la risorsa, non puoi modificare l'account di servizio collegato alla risorsa. Le istanze di Compute Engine sono un'eccezione a questa regola; puoi modificare l'account di servizio associato a un'istanza, se necessario.

Per saperne di più, consulta Collegare un account di servizio a una risorsa.

Identità dei carichi di lavoro gestiti

Le identità dei carichi di lavoro gestiti consentono di associare identità attestate da Compute Engine ai carichi di lavoro di Compute Engine. Puoi utilizzare identità di carichi di lavoro gestiti per autenticare i tuoi carichi di lavoro in altri carichi di lavoro utilizzando mTLS, ma non possono essere utilizzati per l'autenticazione nelle API Google Cloud.

Per saperne di più su Managed Workload Identity, consulta Panoramica delle identità dei carichi di lavoro gestiti.

Per scoprire di più sull'utilizzo delle identità dei carichi di lavoro gestiti con i carichi di lavoro di Compute Engine, consulta Autenticare i carichi di lavoro in altri carichi di lavoro tramite mTLS.

Workload Identity GKE

Per i carichi di lavoro in esecuzione su GKE, Workload Identity consente a un account di servizio Kubernetes nel tuo cluster GKE di agire come account di servizio IAM. I pod che utilizzano l'account di servizio Kubernetes configurato utilizzano automaticamente l'account di servizio IAM come identità quando accedono alle API Google Cloud. L'utilizzo di Workload Identity consente di assegnare autorizzazioni e identità distinte e granulari per ogni applicazione nel tuo cluster.

Per saperne di più su GKE Workload Identity, consulta Federazione delle identità per i carichi di lavoro per GKE.

Chiavi account di servizio

Una chiave dell'account di servizio consente a un carico di lavoro di autenticarsi come account di servizio e quindi di utilizzare l'identità dell'account di servizio per l'autorizzazione. Le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte nelle Best practice per la gestione delle chiavi degli account di servizio. Se non ti viene consentito di creare una chiave dell'account di servizio, la creazione di chiavi dell'account di servizio potrebbe essere disabilitata per la tua organizzazione. Per saperne di più, consulta Gestione di risorse dell'organizzazione sicure per impostazione predefinita.

Carichi di lavoro esterni

Se esegui carichi di lavoro all'esterno di Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità per i tuoi carichi di lavoro:

Federazione delle identità per i carichi di lavoro
Chiavi account di servizio

Federazione delle identità per i carichi di lavoro

La federazione delle identità per i carichi di lavoro consente di utilizzare credenziali di provider di identità esterni come AWS e Azure Active Directory per generare credenziali a breve durata, utilizzabili dai carichi di lavoro per impersonare temporaneamente gli account di servizio. I carichi di lavoro possono quindi accedere alle risorse Google Cloud utilizzando l'account di servizio come identità.

La federazione delle identità per i carichi di lavoro è il metodo preferito per configurare le identità per i carichi di lavoro esterni.

Per saperne di più sulla federazione delle identità per i carichi di lavoro, consulta Federazione delle identità per i carichi di lavoro.

Chiavi account di servizio

Sviluppo locale

Se stai sviluppando in un ambiente locale, puoi configurare i carichi di lavoro in modo che utilizzino le tue credenziali utente per l'autenticazione e l'autorizzazione. Per ulteriori informazioni, consulta Ambiente di sviluppo locale nella documentazione di autenticazione.

Passaggi successivi

Scopri come configurare l'autenticazione utilizzando gli account di servizio.
Scopri come configurare l'autenticazione per un ambiente di sviluppo locale.
Scopri come concedere agli account di servizio l'accesso alle risorse.