Configurer la fédération d'identité de charge de travail avec des certificats X.509

Ce guide explique comment utiliser la fédération d'identité de charge de travail avec des certificats X.509 émis par votre autorité de certification (AC) pour vous authentifier auprès de Google Cloud et accéder aux ressources Google Cloud.

Si vos charges de travail disposent d'un certificat client mTLS, vous pouvez vous authentifier auprès de Google Cloud en enregistrant une ou plusieurs autorités de certification auprès de la fédération d'identité de charge de travail en tant qu'ancres de confiance. Vous pouvez également enregistrer des autorités de certification intermédiaires.

En utilisant la fédération d'identité de charge de travail, vous pouvez autoriser ces charges de travail à obtenir des identifiants Google Cloud de courte durée via une connexion TLS mutuel (mTLS). Les charges de travail peuvent utiliser ces identifiants éphémères pour accéder aux API Google Cloud.

Concepts

Les concepts de fédération basés sur les certificats X.509 incluent les suivants:

• Une ancre de confiance est un certificat d'autorité de certification considéré comme la racine de confiance. Toutes les chaînes de certificats client doivent être associées à l'une des ancres de confiance.

• Une autorité de certification intermédiaire est un certificat d'autorité de certification facultatif qui aide à créer la chaîne de certificats client.

• Un magasin de confiance contient les certificats d'ancre de confiance et les certificats d'autorité de certification intermédiaire utilisés pour valider la chaîne de certificats client. Une autorité de certification délivre des certificats approuvés pour le client.

  Vous pouvez importer les types de certificats clients suivants dans le magasin de confiance :

  • Certificats émis par des autorités de certification tierces de votre choix
  • Certificats émis par vos autorités de certification privées
  • Certificats signés, comme décrit dans la section Créer des certificats autosignés

Avant de commencer

Pour commencer à configurer la fédération d'identité de charge de travail, procédez comme suit :

1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

Nous vous recommandons d' utiliser un projet dédié pour gérer les pools d'identités de charge de travail et les fournisseurs.

2. Make sure that billing is enabled for your Google Cloud project.

Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.

Enable the APIs

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer la fédération d'identité de charge de travail, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet :

• Administrateur de pools Workload Identity (roles/iam.workloadIdentityPoolAdmin)
• Administrateur de compte de service (roles/iam.serviceAccountAdmin)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Le rôle de base IAM "Propriétaire" (roles/owner) inclut également des autorisations permettant de configurer la fédération d'identité. Les rôles de base ne doivent pas être attribués dans un environnement de production, mais ils peuvent être attribués dans un environnement de développement ou de test.

Configurer la fédération d'identité de charge de travail

Cette section explique comment configurer la fédération d'identité de charge de travail et votre magasin de confiance. Vous n'avez besoin de suivre cette procédure qu'une seule fois pour chaque magasin de confiance. Vous pouvez ensuite utiliser le même pool d'identités de charge de travail et le même fournisseur pour plusieurs charges de travail et sur plusieurs projets Google Cloud.

Créer et configurer un magasin de confiance

Cette section explique comment créer un fichier de configuration YAML de magasin de confiance et un certificat CA autosigné.

Générer une clé et des certificats signés

Cette section utilise les commandes openssl pour créer un certificat racine et un certificat intermédiaire.

Si vous disposez déjà de certificats, vous pouvez ignorer cette étape et passer à l'étape Mettre en forme les certificats.

Pour générer un certificat racine et un certificat intermédiaire signé avec des champs keyUsage et extendedKeyUsage valides, procédez comme suit:

1. Créez un exemple de fichier example.cnf avec la configuration minimale requise pour créer des certificats de signature valides. Vous pouvez modifier ce fichier pour définir des champs supplémentaires sur ces certificats.

   cat > example.cnf << EOF
   [req]
   distinguished_name = empty_distinguished_name
   [empty_distinguished_name]
   # Kept empty to allow setting via -subj command line arg.
   [ca_exts]
   basicConstraints=critical,CA:TRUE
   keyUsage=keyCertSign
   extendedKeyUsage=clientAuth
   EOF
   

2. Créez le certificat racine :

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=root' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout root.key -out root.cert
   

3. Créez la requête de signature pour le certificat intermédiaire :

   openssl req \
       -new -sha256 -newkey rsa:2048 -nodes \
       -subj '/CN=int' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout int.key -out int.req
   

4. Créez le certificat intermédiaire :

   openssl x509 -req \
       -CAkey root.key -CA root.cert \
       -set_serial 1 \
       -days 3650 \
       -extfile example.cnf \
       -extensions ca_exts \
       -in int.req -out int.cert
   

Mettre en forme les certificats

Pour inclure de nouveaux certificats ou des certificats existants dans un truststore, définissez une mise en forme de ces certificats sur une seule ligne et stockez-les dans des variables d'environnement, afin qu'ils puissent être lus dans le fichier YAML. Les certificats doivent être au format PEM. Pour mettre en forme les certificats et les stocker dans des variables d'environnement, procédez comme suit:

1. Enregistrez le certificat racine en tant que chaîne sur une seule ligne:

   export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

2. Enregistrez un certificat intermédiaire en tant que chaîne sur une seule ligne:

   export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

Créer un fichier YAML de dépôt de confiance

Dans cette section, vous allez créer un fichier YAML de truststore contenant vos ancres de confiance et vos autorités de certification intermédiaires.

Pour créer le fichier YAML du magasin de confiance, exécutez la commande suivante. Ce fichier contient le contenu du certificat à partir des variables d'environnement que vous avez créées à l'étape Mettre en forme les certificats. Pour ajouter des ancrages de confiance supplémentaires, ajoutez des entrées trustAnchors supplémentaires sous trustStore. Pour ajouter d'autres certificats de certification intermédiaire, ajoutez des entrées intermediateCas supplémentaires sous trustStore.

cat << EOF > trust_store.yaml
trustStore:
  trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF

Définir un mappage et une condition d'attribut

Le certificat X.509 du client peut contenir plusieurs attributs. Vous devez sélectionner l'attribut que vous souhaitez utiliser comme identifiant d'objet en mappant google.subject dans Google Cloud à l'attribut de votre certificat. Par exemple, si l'attribut du certificat est le nom commun de l'objet, le mappage est le suivant : google.subject=assertion.subject.dn.cn

Vous pouvez éventuellement mapper d'autres attributs. Vous pouvez ensuite faire référence à ces attributs lorsque vous autorisez l'accès aux ressources.

Vos mappages d'attributs peuvent utiliser les attributs du certificat client, y compris les suivants:

• serialNumberHex: numéro de série
• subject.dn.cn: nom commun de l'objet
• subject.dn.o: nom de l'organisation concernée
• subject.dn.ou: unité organisationnelle concernée
• issuer.dn.cn: nom commun de l'émetteur
• issuer.dn.o: nom de l'organisation émettrice
• issuer.dn.ou: unité organisationnelle de l'émetteur
• san.dns: premier nom DNS de l'autre nom d'objet
• san.uri: premier URI du nom alternatif de l'objet

Vous devez mapper l'un de ces attributs sur google.subject pour identifier de manière unique l'objet. Pour vous protéger contre les menaces de spoofing, choisissez un attribut avec une valeur unique ne pouvant pas être modifiée. Par défaut, l'identifiant google.subject est défini sur le nom commun de l'objet du certificat client, assertion.subject.dn.cn.

Facultatif: définissez une condition d'attribut. Les conditions d'attribut sont des expressions CEL qui peuvent vérifier les attributs d'assertion et les attributs cibles. Si la condition d'attribut renvoie true pour un identifiant donné, celui-ci est accepté. Dans le cas contraire, l'identifiant est rejeté.

Vous pouvez utiliser une condition d'attribut pour limiter les clients pouvant utiliser la fédération d'identité de charge de travail afin d'obtenir des jetons Google Cloud de courte durée.

Par exemple, la condition suivante restreint l'accès aux certificats client contenant l'ID SPIFFE spiffe://example/path:

assertion.san.uri=="spiffe://example/path"

Créer le pool d'identité de charge de travail et le fournisseur

1. Pour créer un pool d'identités de charge de travail, exécutez la commande suivante :

   gcloud iam workload-identity-pools create POOL_ID \
       --location="global" \
       --description="DESCRIPTION" \
       --display-name="DISPLAY_NAME"
   

   Remplacez les éléments suivants :

   • POOL_ID : ID unique du pool.
   • DISPLAY_NAME : nom du pool.
   • DESCRIPTION : description du pool que vous choisissez. Cette description apparaît lorsque vous accordez l'accès aux identités du pool.

2. Pour ajouter un fournisseur de pools d'identités de charge de travail X.509, exécutez la commande suivante:

   gcloud iam workload-identity-pools providers create-x509 PROVIDER_ID \
       --location=global \
       --workload-identity-pool="POOL_ID" \
       --trust-store-config-path="TRUST_STORE_CONFIG" \
       --attribute-mapping="MAPPINGS" \
       --attribute-condition="CONDITIONS" \
       --billing-project="ALLOWLISTED_PROJECT"
   

   Remplacez les éléments suivants :

   • PROVIDER_ID : ID unique de fournisseur de pools d'identités de charge de travail de votre choix.
   • POOL_ID : ID du pool d'identités de charge de travail que vous avez créé précédemment.
   • TRUST_STORE_CONFIG: fichier YAML du magasin de confiance.
   • MAPPINGS : liste de mappages d'attributs séparés par des virgules que vous avez créés précédemment dans ce guide Si vous ne spécifiez pas google.subject, le mappage par défaut sera google.subject=assertion.subject.dn.cn.
   • CONDITIONS : condition d'attribut facultative que vous avez créée précédemment dans ce guide. Supprimez le paramètre si vous n'avez pas de condition d'attribut.
   • ALLOWLISTED_PROJECT : ID du projet

Authentifier une charge de travail

Vous devez effectuer ces étapes une fois pour chaque charge de travail.

Autoriser votre charge de travail externe à accéder aux ressources Google Cloud

Pour autoriser votre charge de travail à accéder aux ressources Google Cloud, nous vous recommandons d'accorder un accès direct aux ressources au compte principal. Dans ce cas, le compte principal est l'utilisateur fédéré. Certains produits Google Cloud sont soumis à des limites de l'API Google Cloud. Si votre charge de travail appelle un point de terminaison d'API présentant une limite, vous pouvez emprunter l'identité d'un compte de service. Dans ce cas, le compte principal est le compte de service Google Cloud, qui agit en tant qu'identité. Vous accordez l'accès au compte de service sur la ressource.

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

Télécharger ou créer une configuration d'identifiants

Les bibliothèques clientes Cloud et la gcloud CLI peuvent obtenir automatiquement des identifiants externes et les utiliser pour usurper l'identité d'un compte de service. Pour permettre aux bibliothèques et aux outils de mener ce processus à son terme, vous devez fournir un fichier de configuration des identifiants. Ce fichier définit les éléments suivants :

• Où obtenir des identifiants externes
• Quel pool d'identités de charge de travail et quel fournisseur utiliser
• À quel compte de service emprunter l'identité

De plus, pour la fédération de certificats X.509, un fichier de configuration de certificat est requis. Ce fichier contient les chemins d'accès au certificat client X.509 et aux fichiers de clé privée.

Pour créer des fichiers de configuration d'identifiants et de certificats, procédez comme suit:

gcloud iam workload-identity-pools create-cred-config
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

Utiliser la configuration des identifiants pour accéder à Google Cloud

Pour permettre aux outils et aux bibliothèques clientes d'utiliser votre configuration d'identifiants, procédez comme suit :

1. Initialisez une variable d'environnement GOOGLE_APPLICATION_CREDENTIALS et pointez-la vers le fichier de configuration des identifiants :

   Bash

     export GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
     

   où FILEPATH est le chemin d'accès relatif au fichier de configuration des identifiants.

   PowerShell

     $env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
     

   où FILEPATH est le chemin d'accès relatif au fichier de configuration des identifiants.

2. Assurez-vous que la bibliothèque cliente peut trouver le fichier de configuration du certificat. Le fichier de configuration du certificat doit être stocké à l'emplacement par défaut de la Google Cloud CLI:

   • Linux et macOS : ~/.config/gcloud/certificate_config.json

   • Windows : %APPDATA%\gcloud\certificate_config.json

   ou pointé par la variable d'environnement GOOGLE_API_CERTIFICATE_CONFIG.

3. Utilisez une bibliothèque cliente ou un outil compatible avec la fédération d'identité de charge de travail et capable de trouver automatiquement les identifiants :

  go list -m cloud.google.com/go/auth
  go list -m cloud.google.com/api

  pip show google-auth

  gcloud auth login --cred-file=FILEPATH.json
  

Obtenir un jeton d'accès à l'aide d'une requête simple pour accéder à Google Cloud

Pour obtenir le jeton d'accès, procédez comme suit:

1. Utilisez curl pour effectuer l'échange de jetons avec mTLS et le certificat client:

   curl --key CLIENT_CERT_KEY \
   --cert CLIENT_CERT \
   --request POST 'https://sts.mtls.googleapis.com/v1/token' \
   --header "Content-Type: application/json" \
   --data-raw '{
       "subject_token_type": "urn:ietf:params:oauth:token-type:mtls",
       "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
       "audience": "WORKLOAD_IDENTITY_POOL_URI",
       "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
       "scope": "https://www.googleapis.com/auth/cloud-platform",
   }'
   

   Remplacez les éléments suivants :

   • CLIENT_CERT_KEY: clé privée du certificat client
   • CLIENT_CERT : certificat client.

   • WORKLOAD_IDENTITY_POOL_URI: URL du fournisseur du pool d'identités de charge de travail, au format suivant:

     //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

2. Utilisez le jeton d'accès porteur généré à l'étape précédente pour accéder aux ressources Google Cloud, par exemple:

   curl -X GET 'https://storage.googleapis.com/my_object' -H "Authorization: Bearer $ACCESS_TOKEN"
   

Quotas et limites

Le tableau suivant présente les quotas et les limites.

Étape suivante

• Apprenez-en plus sur la fédération d'identité de charge de travail.
• Découvrez les bonnes pratiques d'utilisation de la fédération d'identité de charge de travail.
• Découvrez comment vous pouvez gérer les pools d'identités de charge de travail et les fournisseurs.