Configurar a federação de identidade da carga de trabalho com certificados X.509

Este guia descreve como usar a federação de identidade da carga de trabalho com certificados X.509 emitidos pela autoridade certificadora (AC) para autenticar no Google Cloud e acessar os recursos do Google Cloud.

Se as cargas de trabalho tiverem um certificado de cliente mTLS, será possível fazer a autenticação no Google Cloud registrando uma ou mais ACs com a federação de identidade da carga de trabalho como pontos de confiança. Também é possível registrar ACs intermediárias.

Ao usar a federação de identidade da carga de trabalho, é possível permitir que essas cargas de trabalho recebam credenciais de curta duração do Google Cloud por uma conexão TLS mútua (mTLS). As cargas de trabalho podem usar essas credenciais de curta duração para acessar as APIs do Google Cloud.

Conceitos

Os conceitos de federação com base em certificados X.509 incluem:

• Uma âncora de confiança é um certificado de AC considerado como raiz de confiança. Todas as cadeias de certificados do cliente precisam ser vinculadas a uma das âncoras de confiança.

• Uma AC intermediária é um certificado de autoridade de certificação opcional que ajuda a criar a cadeia de certificados do cliente.

• Um repositório de confiança contém os certificados de âncora de confiança e os certificados de AC intermediários que são usados para validar a cadeia de certificados do cliente. Uma AC emite certificados confiáveis para o cliente.

  Você pode fazer o upload dos seguintes tipos de certificados do cliente para o repositório de confiança:

  • Certificados emitidos por CAs de terceiros de sua escolha
  • Certificados emitidos pelas suas ACs particulares
  • Certificados assinados, conforme descrito em Criar certificados autoassinados

Antes de começar

Para começar a configurar a federação de identidade da carga de trabalho, faça isto:

1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

Recomendamos que você use um projeto dedicado para gerenciar pools de identidade da carga de trabalho e de transporte público.

2. Make sure that billing is enabled for your Google Cloud project.

Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.

Enable the APIs

Funções exigidas

Para receber as permissões necessárias para configurar a federação de identidade da carga de trabalho, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

• Administrador de pool de Identidade da carga de trabalho (roles/iam.workloadIdentityPoolAdmin)
• Administrador da conta de serviço (roles/iam.serviceAccountAdmin)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Como alternativa, o papel básico de Proprietário do IAM (roles/owner) também inclui permissões para configurar a federação de identidade. Não conceda papéis básicos em um ambiente de produção, recomendamos que você faça isso em um ambiente de desenvolvimento ou teste.

Configurar a federação de identidade da carga de trabalho

Esta seção mostra como configurar a federação de identidade da carga de trabalho e a armazenagem de confiança. Você só precisa realizar essas etapas uma vez para cada loja de confiança. É possível, então, usar o mesmo pool de identidade da carga de trabalho e servidor em várias cargas de trabalho e em vários projetos do Google Cloud.

Criar e configurar uma loja de confiança

Esta seção mostra como criar um arquivo de configuração YAML de repositório de confiança e um certificado de CA autoassinado.

Gere uma chave e certificados assinados

Esta seção usa comandos openssl para criar certificados raiz e intermediários.

Se você já tiver certificados, pule esta etapa e continue com Formatar os certificados.

Para gerar um certificado raiz e um certificado intermediário assinado com campos keyUsage e extendedKeyUsage válidos, faça o seguinte:

1. Crie um arquivo de amostra example.cnf com a configuração mínima necessária para criar certificados de assinatura válidos. É possível editar esse arquivo para definir campos adicionais nesses certificados.

   cat > example.cnf << EOF
   [req]
   distinguished_name = empty_distinguished_name
   [empty_distinguished_name]
   # Kept empty to allow setting via -subj command line arg.
   [ca_exts]
   basicConstraints=critical,CA:TRUE
   keyUsage=keyCertSign
   extendedKeyUsage=clientAuth
   EOF
   

2. Crie o certificado raiz:

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=root' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout root.key -out root.cert
   

3. Crie a solicitação de assinatura do certificado intermediário:

   openssl req \
       -new -sha256 -newkey rsa:2048 -nodes \
       -subj '/CN=int' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout int.key -out int.req
   

4. Crie o certificado intermediário:

   openssl x509 -req \
       -CAkey root.key -CA root.cert \
       -set_serial 1 \
       -days 3650 \
       -extfile example.cnf \
       -extensions ca_exts \
       -in int.req -out int.cert
   

Formatar os certificados

Para incluir certificados novos ou atuais em um armazenamento de confiança, formate os certificados em uma única linha e armazene-os em variáveis de ambiente para que possam ser lidos no arquivo YAML. Os certificados precisam estar no formato PEM. Para formatar os certificados e armazená-los em variáveis de ambiente, faça o seguinte:

1. Salve o certificado raiz como uma string de uma linha:

   export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

2. Salve um certificado intermediário como uma string de uma linha:

   export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

Criar um arquivo YAML de repositório de confiança

Nesta seção, você cria um arquivo YAML de armazenamento de confiança que contém as âncoras de confiança e as ACs intermediárias.

Para criar o arquivo YAML do repositório de confiança, execute o comando abaixo. Esse arquivo contém o conteúdo do certificado das variáveis de ambiente que você criou em Formatar os certificados. Para adicionar mais âncoras de confiança, adicione mais entradas trustAnchors em trustStore. Para adicionar outros certificados de AC intermediários, adicione outras entradas de intermediateCas em trustStore.

cat << EOF > trust_store.yaml
trustStore:
  trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF

Definir um mapeamento e uma condição de atributo

O certificado X.509 do cliente pode conter vários atributos. Selecione qual atributo você quer usar como identificador do assunto mapeando google.subject no Google Cloud para o atributo do seu certificado. Por exemplo, se o atributo no certificado for o nome comum do assunto, o mapeamento será o seguinte: google.subject=assertion.subject.dn.cn

Também é possível mapear outros atributos. Consulte esses atributos ao conceder acesso aos recursos.

Os mapeamentos de atributos podem usar os atributos no certificado do cliente, incluindo:

• serialNumberHex: o número de série
• subject.dn.cn: o nome comum do assunto
• subject.dn.o: o nome da organização do assunto
• subject.dn.ou: a unidade organizacional do sujeito
• issuer.dn.cn: o nome comum do emissor
• issuer.dn.o: o nome da organização emissora
• issuer.dn.ou: a unidade organizacional do emissor
• san.dns: o primeiro nome de DNS do nome alternativo do assunto
• san.uri: o primeiro URI do nome alternativo do assunto

Mapeie um desses atributos para google.subject para identificar exclusivamente o assunto. Para se proteger contra ameaças de spoofing, escolha um atributo com um valor exclusivo que não possa ser alterado. Por padrão, o identificador google.subject é definido como o nome comum do assunto do certificado do cliente, assertion.subject.dn.cn.

Opcional: defina uma condição de atributo. As condições de atributo são expressões CEL que podem verificar atributos de declaração e atributos de destino. Se a condição do atributo for avaliada como true para uma determinada credencial, a credencial será aceita. Caso contrário, a credencial será rejeitada.

Use uma condição de atributo para restringir quais sujeitos podem usar a federação de identidade da carga de trabalho para conseguir tokens de curta duração do Google Cloud.

Por exemplo, a condição a seguir restringe o acesso a certificados de cliente que contêm o ID SPIFFE spiffe://example/path:

assertion.san.uri=="spiffe://example/path"

Crie um pool de identidades e um provedor de carga de trabalho

1. Para criar um novo pool de identidades de carga de trabalho, execute o seguinte comando:

   gcloud iam workload-identity-pools create POOL_ID \
       --location="global" \
       --description="DESCRIPTION" \
       --display-name="DISPLAY_NAME"
   

   Substitua:

   • POOL_ID: o ID exclusivo do pool.
   • DISPLAY_NAME: o nome do pool.
   • DESCRIPTION: uma descrição do pool escolhido. Essa descrição aparece quando você concede acesso às identidades do pool.

2. Para adicionar um provedor de pool de identidade da carga de trabalho X.509, execute o seguinte comando:

   gcloud iam workload-identity-pools providers create-x509 PROVIDER_ID \
       --location=global \
       --workload-identity-pool="POOL_ID" \
       --trust-store-config-path="TRUST_STORE_CONFIG" \
       --attribute-mapping="MAPPINGS" \
       --attribute-condition="CONDITIONS" \
       --billing-project="ALLOWLISTED_PROJECT"
   

   Substitua:

   • PROVIDER_ID: um ID de provedor do pool de Identidade da carga de trabalho exclusivo de sua escolha.
   • POOL_ID: o ID do pool de Identidade da carga de trabalho que você criou anteriormente.
   • TRUST_STORE_CONFIG: o arquivo YAML da loja de certificados.
   • MAPPINGS: uma lista separada por vírgulas de mapeamentos de atributos criados anteriormente neste guia. Se você não especificar google.subject, o mapeamento padrão será google.subject=assertion.subject.dn.cn.
   • CONDITIONS: uma condição de atributo opcional que você criou anteriormente neste guia. Remova o parâmetro se você não tiver uma condição de atributo.
   • ALLOWLISTED_PROJECT: o ID do projeto.

Autenticar uma carga de trabalho

É necessário realizar essas etapas uma vez para cada carga de trabalho.

Permitir que a carga de trabalho externa acesse recursos do Google Cloud

Para fornecer à sua carga de trabalho acesso aos recursos do Google Cloud, recomendamos que você conceda ao principal acesso direto aos recursos. Nesse caso, o principal é o usuário federado. Alguns produtos do Google Cloud têm limitações de APIs do Google Cloud. Se sua carga de trabalho chamar um endpoint de API que apresenta limitação, será possível usar a identidade temporária de conta de serviço. Nesse caso, o principal é a conta de serviço do Google Cloud, que atua como a identidade. Você concede acesso à conta de serviço no recurso.

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

Baixar ou criar uma configuração de credencial

As bibliotecas de cliente do Cloud e a gcloud CLI podem receber automaticamente credenciais externas e usá-las para representar uma conta de serviço. Para permitir que bibliotecas e ferramentas concluam esse processo, você precisa fornecer um arquivo de configuração de credenciais. Esse arquivo define o seguinte:

• De onde receber credenciais externas
• Qual pool de identidades de carga de trabalho e provedor usar
• Qual conta de serviço representar

Além disso, para a federação de certificados X.509, é necessário um arquivo de configuração de certificado. Esse arquivo contém caminhos para o certificado de cliente X.509 e os arquivos de chave privada.

Para criar arquivos de configuração de credenciais e certificados, faça o seguinte:

gcloud iam workload-identity-pools create-cred-config
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

Usar a configuração de credencial para acessar o Google Cloud

Para permitir que as ferramentas e as bibliotecas de cliente usem a configuração da sua credencial, faça o seguinte:

1. Inicialize uma variável de ambiente GOOGLE_APPLICATION_CREDENTIALS e aponte-a para o arquivo de configuração de credenciais:

   Bash

     export GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
     

   em que FILEPATH é o caminho relativo do arquivo de configuração de credenciais.

   PowerShell

     $env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
     

   em que FILEPATH é o caminho relativo do arquivo de configuração de credenciais.

2. Verifique se a biblioteca de cliente consegue encontrar o arquivo de configuração do certificado. O arquivo de configuração do certificado precisa ser armazenado no local padrão da CLI do Google Cloud:

   • Linux e macOS: ~/.config/gcloud/certificate_config.json

   • Windows: %APPDATA%\gcloud\certificate_config.json

   ou apontado pela variável de ambiente GOOGLE_API_CERTIFICATE_CONFIG.

3. Use uma biblioteca de cliente ou ferramenta compatível com a federação de identidade da carga de trabalho e que possa encontrar credenciais automaticamente:

  go list -m cloud.google.com/go/auth
  go list -m cloud.google.com/api

  pip show google-auth

  gcloud auth login --cred-file=FILEPATH.json
  

Receber um token de acesso usando uma solicitação simples para acessar o Google Cloud

Para receber o token de acesso, faça o seguinte:

1. Use o curl para realizar a troca de token com mTLS e o certificado do cliente:

   curl --key CLIENT_CERT_KEY \
   --cert CLIENT_CERT \
   --request POST 'https://sts.mtls.googleapis.com/v1/token' \
   --header "Content-Type: application/json" \
   --data-raw '{
       "subject_token_type": "urn:ietf:params:oauth:token-type:mtls",
       "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
       "audience": "WORKLOAD_IDENTITY_POOL_URI",
       "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
       "scope": "https://www.googleapis.com/auth/cloud-platform",
   }'
   

   Substitua:

   • CLIENT_CERT_KEY: a chave privada do certificado do cliente
   • CLIENT_CERT: certificado do cliente

   • WORKLOAD_IDENTITY_POOL_URI: o URL do provedor do pool de identidades da carga de trabalho no seguinte formato:

     //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

2. Use o token de acesso de portador gerado na etapa anterior para acessar recursos do Google Cloud. Por exemplo:

   curl -X GET 'https://storage.googleapis.com/my_object' -H "Authorization: Bearer $ACCESS_TOKEN"
   

Cotas e limites

A tabela a seguir lista as cotas e os limites.

A seguir

• Leia mais sobre a federação de identidade da carga de trabalho.
• Conheça as práticas recomendadas para usar a federação de identidade da carga de trabalho.
• Veja como gerenciar pools e provedores de identidade de carga de trabalho.