Configura la federación de identidades para cargas de trabajo con certificados X.509

En esta guía, se describe cómo usar la federación de identidades para cargas de trabajo con certificados X.509 que emite tu AC para autenticarte en Google Cloud y acceder a sus recursos.

Si tus cargas de trabajo tienen un certificado de cliente mTLS, puedes registrar una o más AC con la federación de identidades para cargas de trabajo como entidades de confianza para autenticarte en Google Cloud. También puedes registrar AC intermedias.

Si usas la federación de identidades para cargas de trabajo, puedes permitir que estas cargas de trabajo obtengan credenciales de Google Cloud de corta duración a través de una conexión TLS mutua (mTLS). Las cargas de trabajo pueden usar estas credenciales de corta duración para acceder a las API de Google Cloud.

Conceptos

Los conceptos de la integración basada en certificados X.509 incluyen los siguientes:

• Un ancla de confianza es un certificado de AC que se considera la raíz de confianza. Cualquier cadena de certificados de cliente debe estar vinculada a una de las anclas de confianza.

• Un AC intermedia es un certificado de autoridad certificadora opcional que ayuda a compilar la cadena de certificados del cliente.

• Un almacén de confianza contiene los certificados del ancla de confianza y los certificados de la AC intermedios que se usan para validar la cadena de certificados de cliente. Una AC emite certificados de confianza para el cliente.

  Puedes subir los siguientes tipos de certificados de cliente al almacén de confianza:

  • Los certificados emitidos por CA de terceros que elijas
  • Certificados emitidos por tus AC privadas
  • Certificados firmados, como se describe en Crea certificados autofirmados

Antes de comenzar

Para comenzar a configurar la federación de Workload Identity, haz lo siguiente:

1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

Te recomendamos que uses un proyecto dedicado para administrar grupos de identidades para cargas de trabajo y proveedores.

2. Make sure that billing is enabled for your Google Cloud project.

Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.

Enable the APIs

Roles obligatorios

A fin de obtener los permisos que necesitas para configurar la federación de identidades para cargas de trabajo, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

• Administrador de grupos de identidades para cargas de trabajo (roles/iam.workloadIdentityPoolAdmin)
• Administrador de cuenta de servicio (roles/iam.serviceAccountAdmin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

De manera alternativa, el rol básico de propietario de IAM (roles/owner) también incluye permisos para configurar la federación de identidades. No deberías otorgar funciones básicas en un entorno de producción, pero puedes otorgarlas en un entorno de desarrollo o de prueba.

Configura la federación de Workload Identity

En esta sección, se muestra cómo configurar la federación de identidades para cargas de trabajo y tu almacén de confianza. Solo debes realizar estos pasos una vez para cada almacén de confianza. Luego, puedes usar el mismo grupo de identidades para cargas de trabajo y un proveedor para varias cargas de trabajo y en varios proyectos de Google Cloud.

Crea y configura un almacén de confianza

En esta sección, se muestra cómo crear un archivo de configuración de almacén de confianza de YAML y un certificado de la AC autofirmado.

Genera una clave y certificados firmados

En esta sección, se usan comandos openssl para crear certificados raíz e intermedios.

Si ya tienes certificados, puedes omitir este paso y continuar con Da formato a los certificados.

Para generar un certificado raíz y un certificado intermedio firmado con los campos keyUsage y extendedKeyUsage válidos, haz lo siguiente:

1. Crea un archivo example.cnf de muestra con la configuración mínima necesaria para crear certificados de firma válidos. Puedes editar este archivo para configurar campos adicionales en estos certificados.

   cat > example.cnf << EOF
   [req]
   distinguished_name = empty_distinguished_name
   [empty_distinguished_name]
   # Kept empty to allow setting via -subj command line arg.
   [ca_exts]
   basicConstraints=critical,CA:TRUE
   keyUsage=keyCertSign
   extendedKeyUsage=clientAuth
   EOF
   

2. Crea el certificado raíz:

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=root' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout root.key -out root.cert
   

3. Crea la solicitud de firma para el certificado intermedio:

   openssl req \
       -new -sha256 -newkey rsa:2048 -nodes \
       -subj '/CN=int' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout int.key -out int.req
   

4. Crea el certificado intermedio:

   openssl x509 -req \
       -CAkey root.key -CA root.cert \
       -set_serial 1 \
       -days 3650 \
       -extfile example.cnf \
       -extensions ca_exts \
       -in int.req -out int.cert
   

Da formato a los certificados

Para incluir certificados nuevos o existentes en un almacén de confianza, debes dar formato a los certificados en una sola línea y almacenarlos en variables de entorno para que se puedan leer en el archivo YAML. Los certificados deben estar en formato PEM. Para dar formato a los certificados y almacenarlos en variables de entorno, haz lo siguiente:

1. Guarda el certificado raíz como una cadena de una sola línea:

   export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

2. Guarda un certificado intermedio como una cadena de una línea:

   export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

Crea un archivo YAML de almacén de confianza

En esta sección, crearás un archivo YAML de almacén de confianza que contenga tus anclas de confianza y AC intermedias.

Para crear el archivo YAML de almacén de confianza, ejecuta el siguiente comando. Este archivo contiene el contenido del certificado de las variables de entorno que creaste en Da formato a los certificados. Para agregar anclas de confianza adicionales, agrega entradas trustAnchors adicionales en trustStore. Para agregar certificados de la AC intermedios adicionales, agrega entradas intermediateCas adicionales en trustStore.

cat << EOF > trust_store.yaml
trustStore:
  trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF

Define una condición y la asignación de atributos

El certificado X.509 del cliente puede contener varios atributos. Debes seleccionar el atributo que deseas usar como identificador de asunto asignando google.subject en Google Cloud al atributo de tu certificado. Por ejemplo, si el atributo del certificado es el nombre común del sujeto, la asignación sería la siguiente: google.subject=assertion.subject.dn.cn

De manera opcional, puedes mapear atributos adicionales. Luego, puedes hacer referencia a estos atributos adicionales cuando otorgues acceso a los recursos.

Tus asignaciones de atributos pueden usar los atributos dentro del certificado de cliente, incluidos los siguientes:

• serialNumberHex: Es el número de serie.
• subject.dn.cn: Es el nombre común del sujeto.
• subject.dn.o: El nombre de la organización del sujeto.
• subject.dn.ou: Es la unidad organizativa del sujeto.
• issuer.dn.cn: Es el nombre común de la entidad emisora.
• issuer.dn.o: Es el nombre de la organización emisora.
• issuer.dn.ou: Es la unidad de la organización del emisor.
• san.dns: Es el primer nombre de DNS del nombre alternativo del sujeto.
• san.uri: Es el primer URI del nombre alternativo del sujeto.

Debes asignar uno de estos atributos a google.subject para identificar de forma única al sujeto. Para protegerte contra las amenazas de falsificación de identidad, elige un atributo con un valor único que no pueda cambiarse. De forma predeterminada, el identificador google.subject se establece en el nombre común del asunto del certificado de cliente, assertion.subject.dn.cn.

De manera opcional, define una condición de atributo. Las condiciones de los atributos son expresiones CEL que pueden verificar los atributos de aserción y los atributos de destino. Si la condición del atributo se evalúa como true para una credencial determinada, se acepta la credencial. De lo contrario, se rechaza la credencial.

Puedes usar una condición de atributo a fin de restringir qué sujetos pueden usar la federación de identidades para cargas de trabajo para obtener tokens de Google Cloud de corta duración.

Por ejemplo, la siguiente condición restringe el acceso a los certificados de cliente que contienen el ID de SPIFFE spiffe://example/path:

assertion.san.uri=="spiffe://example/path"

Crea el proveedor y el grupo de Workload Identity

1. Para crear un nuevo grupo de Workload Identity, ejecuta el siguiente comando:

   gcloud iam workload-identity-pools create POOL_ID \
       --location="global" \
       --description="DESCRIPTION" \
       --display-name="DISPLAY_NAME"
   

   Reemplaza lo siguiente:

   • POOL_ID: el ID único para el grupo.
   • DISPLAY_NAME: el nombre del grupo.
   • DESCRIPTION: una descripción del grupo que eliges. Esta descripción aparece cuando otorgas acceso a identidades de grupo.

2. Para agregar un proveedor de grupos de identidades para cargas de trabajo X.509, ejecuta el siguiente comando:

   gcloud iam workload-identity-pools providers create-x509 PROVIDER_ID \
       --location=global \
       --workload-identity-pool="POOL_ID" \
       --trust-store-config-path="TRUST_STORE_CONFIG" \
       --attribute-mapping="MAPPINGS" \
       --attribute-condition="CONDITIONS" \
       --billing-project="ALLOWLISTED_PROJECT"
   

   Reemplaza lo siguiente:

   • PROVIDER_ID: Un ID de proveedor de grupos de identidades para cargas de trabajo único que elijas.
   • POOL_ID: El ID del grupo de identidades de cargas de trabajo que creaste antes.
   • TRUST_STORE_CONFIG: Es el archivo YAML del almacén de confianza.
   • MAPPINGS: Una lista separada por comas de las asignaciones de atributos que creaste antes en esta guía. Si no especificas google.subject, la asignación predeterminada será google.subject=assertion.subject.dn.cn.
   • CONDITIONS: Es una condición de atributo opcional que creaste antes en esta guía. Quita el parámetro si no tienes una condición de atributo.
   • ALLOWLISTED_PROJECT: El ID del proyecto

Autentica una carga de trabajo

Debes realizar estos pasos una vez por cada carga de trabajo.

Permite que tu carga de trabajo externa acceda a los recursos de Google Cloud

Para proporcionar a tu carga de trabajo acceso a los recursos de Google Cloud, te recomendamos que otorgues acceso directo a los recursos al principal. En este caso, el principal es el usuario federado. Algunos productos de Google Cloud tienen limitaciones de las APIs de Google Cloud. Si tu carga de trabajo llama a un extremo de API que tiene una limitación, puedes usar el robo de identidad temporal como cuenta de servicio. En este caso, el principal es la cuenta de servicio de Google Cloud, que actúa como la identidad. Otorga acceso a la cuenta de servicio en el recurso.

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

Descarga o crea una configuración de credenciales

Las bibliotecas cliente de Cloud y gcloud CLI pueden obtener credenciales externas de forma automática y usarlas para usar la identidad de una cuenta de servicio. Para permitir que las bibliotecas y las herramientas completen este proceso, debes proporcionar un archivo de configuración de credenciales. Este archivo define lo siguiente:

• Dónde obtener credenciales externas
• Qué grupo y proveedor de identidades para cargas de trabajo usar
• Qué cuenta de servicio actuará en nombre de ella

Además, para la integración de certificados X.509, se requiere un archivo de configuración de certificado. Este archivo contiene rutas de acceso al certificado de cliente X.509 y a los archivos de claves privadas.

Para crear archivos de configuración de credenciales y certificados, haz lo siguiente:

gcloud iam workload-identity-pools create-cred-config
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

Usa la configuración de credenciales para acceder a Google Cloud

Para permitir que las herramientas y las bibliotecas cliente usen tu configuración de credenciales, haz lo siguiente:

1. Inicializa una variable de entorno GOOGLE_APPLICATION_CREDENTIALS y apúntala al archivo de configuración de credenciales:

   Bash

     export GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
     

   En el ejemplo anterior, FILEPATH es la ruta de acceso relativa al archivo de configuración de credenciales.

   PowerShell

     $env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
     

   En el ejemplo anterior, FILEPATH es la ruta de acceso relativa al archivo de configuración de credenciales.

2. Asegúrate de que la biblioteca cliente pueda encontrar el archivo de configuración del certificado. El archivo de configuración del certificado debe almacenarse en la ubicación predeterminada de Google Cloud CLI:

   • Linux y macOS: ~/.config/gcloud/certificate_config.json

   • Windows: %APPDATA%\gcloud\certificate_config.json

   o a la que haga referencia la variable de entorno GOOGLE_API_CERTIFICATE_CONFIG.

3. Usa una biblioteca cliente o herramienta que admita la federación de Workload Identity y pueda encontrar credenciales de forma automática:

  go list -m cloud.google.com/go/auth
  go list -m cloud.google.com/api

  pip show google-auth

  gcloud auth login --cred-file=FILEPATH.json
  

Obtén un token de acceso con una solicitud sin formato para acceder a Google Cloud

Para obtener el token de acceso, haz lo siguiente:

1. Usa curl para realizar el intercambio de tokens con mTLS y el certificado de cliente:

   curl --key CLIENT_CERT_KEY \
   --cert CLIENT_CERT \
   --request POST 'https://sts.mtls.googleapis.com/v1/token' \
   --header "Content-Type: application/json" \
   --data-raw '{
       "subject_token_type": "urn:ietf:params:oauth:token-type:mtls",
       "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
       "audience": "WORKLOAD_IDENTITY_POOL_URI",
       "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
       "scope": "https://www.googleapis.com/auth/cloud-platform",
   }'
   

   Reemplaza lo siguiente:

   • CLIENT_CERT_KEY: la clave privada del certificado del cliente
   • CLIENT_CERT: el certificado de cliente

   • WORKLOAD_IDENTITY_POOL_URI: La URL del proveedor de grupos de identidades para cargas de trabajo en el siguiente formato:

     //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

2. Usa el token de acceso portador que se generó en el paso anterior para acceder a los recursos de Google Cloud, por ejemplo:

   curl -X GET 'https://storage.googleapis.com/my_object' -H "Authorization: Bearer $ACCESS_TOKEN"
   

Cuotas y límites

En la siguiente tabla, se enumeran las cuotas y los límites.

¿Qué sigue?

• Obtén más información sobre la federación de Workload Identity.
• Obtén más información sobre las prácticas recomendadas para usar la federación de Workload Identity.
• Consulta cómo puedes administrar grupos y proveedores de identidades para cargas de trabajo.