Este guia descreve como usar a federação de identidade da carga de trabalho com certificados X.509 emitidos pela autoridade certificadora (AC) para autenticar no Google Cloud e acessar os recursos do Google Cloud.
Se as cargas de trabalho tiverem um certificado de cliente mTLS, será possível fazer a autenticação no Google Cloud registrando uma ou mais ACs com a federação de identidade da carga de trabalho como pontos de confiança. Também é possível registrar ACs intermediárias.
Ao usar a federação de identidade da carga de trabalho, é possível permitir que essas cargas de trabalho recebam credenciais de curta duração do Google Cloud por uma conexão TLS mútua (mTLS). As cargas de trabalho podem usar essas credenciais de curta duração para acessar as APIs do Google Cloud.
Conceitos
Os conceitos de federação com base em certificados X.509 incluem:
Uma âncora de confiança é um certificado de AC considerado como raiz de confiança. Todas as cadeias de certificados do cliente precisam ser vinculadas a uma das âncoras de confiança.
Uma AC intermediária é um certificado de autoridade de certificação opcional que ajuda a criar a cadeia de certificados do cliente.
Um repositório de confiança contém os certificados de âncora de confiança e os certificados de AC intermediários que são usados para validar a cadeia de certificados do cliente. Uma AC emite certificados confiáveis para o cliente.
Você pode fazer o upload dos seguintes tipos de certificados do cliente para o repositório de confiança:
- Certificados emitidos por ACs de terceiros de sua escolha
- Certificados emitidos pelas ACs particulares
- Certificados assinados, conforme descrito em Criar certificados autoassinados
Antes de começar
Para começar a configurar a federação de identidade da carga de trabalho, faça isto:
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Recomendamos que você
use um projeto dedicado para gerenciar pools de identidade da carga de trabalho e de transporte público.
-
Make sure that billing is enabled for your Google Cloud project.
Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.
Funções exigidas
Para receber as permissões necessárias para configurar a federação de identidade da carga de trabalho, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Administrador de pool de Identidade da carga de trabalho (
roles/iam.workloadIdentityPoolAdmin
) -
Administrador da conta de serviço (
roles/iam.serviceAccountAdmin
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Como alternativa, o papel básico de Proprietário do IAM (roles/owner
) também inclui permissões para configurar a federação de identidade.
Não conceda papéis básicos em um ambiente de produção, recomendamos que você faça isso em um
ambiente de desenvolvimento ou de teste.
Configurar a federação de identidade da carga de trabalho
Nesta seção, mostramos como configurar a federação de identidade da carga de trabalho e repositório de confiança. Você só precisa realizar essas etapas uma vez para cada repositório de confiança. É possível, então, usar o mesmo pool de identidade da carga de trabalho e servidor em várias cargas de trabalho e em vários projetos do Google Cloud.
Criar e configurar um repositório de confiança
Nesta seção, mostramos como criar um arquivo de configuração YAML de repositório de confiança e um certificado de CA autoassinado.
Gere uma chave e certificados assinados
Esta seção usa comandos openssl
para criar certificados raiz e intermediários.
Se você já tiver certificados, pule esta etapa e continue com Formatar os certificados.
Para gerar um certificado raiz e um certificado intermediário assinado com campos keyUsage
e extendedKeyUsage
válidos, faça o seguinte:
Crie um arquivo de amostra
example.cnf
com a configuração mínima necessária para criar certificados de assinatura válidos. É possível editar esse arquivo para definir campos adicionais nesses certificados.cat > example.cnf << EOF [req] distinguished_name = empty_distinguished_name [empty_distinguished_name] # Kept empty to allow setting via -subj command line arg. [ca_exts] basicConstraints=critical,CA:TRUE keyUsage=keyCertSign extendedKeyUsage=clientAuth EOF
Crie o certificado raiz:
openssl req -x509 \ -new -sha256 -newkey rsa:2048 -nodes \ -days 3650 -subj '/CN=root' \ -config example.cnf \ -extensions ca_exts \ -keyout root.key -out root.cert
Crie a solicitação de assinatura do certificado intermediário:
openssl req \ -new -sha256 -newkey rsa:2048 -nodes \ -subj '/CN=int' \ -config example.cnf \ -extensions ca_exts \ -keyout int.key -out int.req
Crie o certificado intermediário:
openssl x509 -req \ -CAkey root.key -CA root.cert \ -set_serial 1 \ -days 3650 \ -extfile example.cnf \ -extensions ca_exts \ -in int.req -out int.cert
Formatar os certificados
Para incluir certificados novos ou atuais em um armazenamento de confiança, formate os certificados em uma única linha e armazene-os em variáveis de ambiente para que possam ser lidos no arquivo YAML. Os certificados precisam estar no formato PEM. Para formatar os certificados e armazená-los em variáveis de ambiente, faça o seguinte:
Salve o certificado raiz como uma string de uma linha:
export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
Salve um certificado intermediário como uma string de uma linha:
export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
Criar um arquivo YAML de repositório de confiança
Nesta seção, você cria um arquivo YAML de armazenamento de confiança que contém as âncoras de confiança e as ACs intermediárias.
Para criar o arquivo YAML do repositório de confiança, execute o comando abaixo. Esse arquivo contém o conteúdo do certificado das variáveis de ambiente
que você criou em Formatar os certificados. Para adicionar mais
âncoras de confiança, adicione mais entradas trustAnchors
em trustStore
.
Para adicionar outros certificados de AC intermediários, adicione outras entradas de intermediateCas
em trustStore
.
cat << EOF > trust_store.yaml
trustStore:
trustAnchors:
- pemCertificate: "${ROOT_CERT}"
intermediateCas:
- pemCertificate: "${INTERMEDIATE_CERT}"
EOF
Definir um mapeamento e uma condição de atributo
O certificado X.509 do cliente pode conter vários atributos.
Selecione qual atributo você quer usar como identificador do assunto mapeando
google.subject
no Google Cloud para o atributo do certificado.
Por exemplo, se o atributo no certificado for
o nome comum do assunto, o mapeamento será o seguinte:
google.subject=assertion.subject.dn.cn
Também é possível mapear outros atributos. Consulte esses atributos ao conceder acesso aos recursos.
Os mapeamentos de atributos podem usar os atributos no certificado do cliente, incluindo:
serialNumberHex
: o número de sériesubject.dn.cn
: o nome comum do assuntosubject.dn.o
: o nome da organização do assuntosubject.dn.ou
: a unidade organizacional do sujeitoissuer.dn.cn
: o nome comum do emissorissuer.dn.o
: o nome da organização emissoraissuer.dn.ou
: a unidade organizacional do emissorsan.dns
: o primeiro nome de DNS do nome alternativo do assuntosan.uri
: o primeiro URI do nome alternativo do assunto
Mapeie um desses atributos para google.subject
para identificar
exclusivamente o assunto. Para se proteger contra ameaças de spoofing, escolha um atributo com um valor
exclusivo que não possa ser alterado. Por padrão, o identificador google.subject
é
definido como o nome comum do assunto do certificado do cliente, assertion.subject.dn.cn
.
Opcional: defina uma condição de atributo.
As condições de atributo são expressões CEL que podem verificar atributos de declaração e atributos de destino. Se a condição do atributo for avaliada como true
para uma determinada credencial, a
credencial será aceita. Caso contrário, a credencial será rejeitada.
Use uma condição de atributo para restringir quais sujeitos podem usar a federação de identidade da carga de trabalho para conseguir tokens de curta duração do Google Cloud.
Por exemplo, a condição a seguir restringe o acesso a certificados de cliente
que contêm o ID SPIFFE spiffe://example/path
:
assertion.san.uri=="spiffe://example/path"
Criar um pool de identidade e um provedor da carga de trabalho
Para criar um novo pool de identidade da carga de trabalho, execute o seguinte comando:
gcloud iam workload-identity-pools create POOL_ID \ --location="global" \ --description="DESCRIPTION" \ --display-name="DISPLAY_NAME"
Substitua:
POOL_ID
: o ID exclusivo do pool.DISPLAY_NAME
: o nome do pool.DESCRIPTION
: uma descrição do pool escolhido. Essa descrição aparece quando você concede acesso às identidades do pool.
Para adicionar um provedor de pool de identidade da carga de trabalho X.509, execute o seguinte comando:
gcloud iam workload-identity-pools providers create-x509 PROVIDER_ID \ --location=global \ --workload-identity-pool="POOL_ID" \ --trust-store-config-path="TRUST_STORE_CONFIG" \ --attribute-mapping="MAPPINGS" \ --attribute-condition="CONDITIONS" \ --billing-project="ALLOWLISTED_PROJECT"
Substitua:
PROVIDER_ID
: um ID de provedor do pool de Identidade da carga de trabalho exclusivo de sua escolha.POOL_ID
: o ID do pool de Identidade da carga de trabalho que você criou anteriormente.TRUST_STORE_CONFIG
: o arquivo YAML do repositório de confiança.MAPPINGS
: uma lista separada por vírgulas de mapeamentos de atributos criados anteriormente neste guia. Se você não especificargoogle.subject
, o mapeamento padrão serágoogle.subject=assertion.subject.dn.cn
.CONDITIONS
: uma condição de atributo opcional que você criou anteriormente neste guia. Remova o parâmetro se você não tiver uma condição de atributo.ALLOWLISTED_PROJECT
: o ID do projeto.
Autenticar uma carga de trabalho
É necessário realizar essas etapas uma vez para cada carga de trabalho.
Permitir que a carga de trabalho externa acesse recursos do Google Cloud
Para fornecer à sua carga de trabalho acesso aos recursos do Google Cloud, recomendamos que você conceda ao principal acesso direto aos recursos. Nesse caso, o principal é o usuário federado. Alguns produtos do Google Cloud têm limitações de APIs do Google Cloud. Se sua carga de trabalho chamar um endpoint de API que apresenta limitação, será possível usar a identidade temporária de conta de serviço. Nesse caso, o principal é a conta de serviço do Google Cloud, que atua como a identidade. Você concede acesso à conta de serviço no recurso.
Acesso direto a recursos
É possível conceder acesso a uma identidade federada diretamente nos recursos usando o console do Google Cloud ou a gcloud CLI.
Console
Para usar o console do Google Cloud para conceder papéis do IAM diretamente em um recurso, acesse a página do recurso e conceda o papel. O exemplo a seguir mostra como acessar a página do Cloud Storage e conceder o papel Leitor de objetos do Storage (roles/storage.objectViewer
) a uma identidade federada diretamente em um bucket do Cloud Storage.
- No Console do Google Cloud, acesse a página Buckets do Cloud Storage.
Na lista de buckets, clique no nome do bucket ao qual você quer conceder o papel.
Selecione a guia Permissões na parte superior da página.
Clique no botão add_boxPermitir acesso.
A caixa de diálogo Adicionar principais será exibida.
No campo Novos principais, insira uma ou mais identidades que precisam acessar seu bucket.
Por assunto
principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT
Substitua:
PROJECT_NUMBER
: o número do projetoPOOL_ID
: o ID do pool de carga de trabalhoSUBJECT
: o sujeito individual mapeado do IdP, por exemplo,administrator@example.com
Por grupo
principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP
Substitua:
PROJECT_NUMBER
: o número do projetoWORKLOAD_POOL_ID
: o ID do pool de carga de trabalhoGROUP
: o grupo mapeado do IdP, por exemplo:administrator-group@example.com
Por atributo
principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Substitua:
PROJECT_NUMBER
: o número do projetoWORKLOAD_POOL_ID
: o ID do pool de carga de trabalhoATTRIBUTE_NAME
: um dos atributos que foi mapeado do IdPATTRIBUTE_VALUE
: o valor do atributo
Escolha um papel ou mais no menu suspenso Selecionar um papel. Os papéis selecionados são exibidos no painel com uma breve descrição das permissões que eles concedem.
Clique em Salvar.
gcloud
Para usar a gcloud CLI a fim de conceder papéis do IAM em um recurso de um projeto, faça isto:
Consiga o número do projeto em que o recurso está definido.
gcloud projects describe $(gcloud config get-value core/project) --format=value\(projectNumber\)
Conceda acesso ao recurso.
Para usar a gcloud CLI para conceder o papel de leitor de objetos de armazenamento (
roles/storage.objectViewer
) a identidades externas que atendam a determinados critérios, execute o comando a seguir.Por assunto
gcloud storage buckets add-iam-policy-binding BUCKET_ID \ --role=roles/storage.objectViewer \ --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"
Por grupo
gcloud storage buckets add-iam-policy-binding BUCKET_ID \ --role=roles/storage.objectViewer \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"
Por atributo
gcloud storage buckets add-iam-policy-binding BUCKET_ID \ --role=roles/storage.objectViewer \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"
Substitua:
BUCKET_ID
: o bucket em que o acesso será concedidoPROJECT_NUMBER
: o número do projeto que contém o pool de Identidade da carga de trabalhoPOOL_ID
: o ID do pool de identidade da carga de trabalhoSUBJECT
: o valor esperado do atributo mapeado paragoogle.subject
GROUP
: o valor esperado do atributo mapeado paragoogle.groups
ATTRIBUTE_NAME
: o nome de um atributo personalizado no seu mapeamento de atributosATTRIBUTE_VALUE
: o valor do atributo personalizado no seu mapeamento de atributos
É possível conceder papéis em qualquer recurso do Google Cloud compatível com políticas de permissão do IAM.
Identidade temporária de conta de serviço
Para criar uma conta de serviço para a carga de trabalho externa, faça isto:
Enable the IAM, Security Token Service, and Service Account Credentials APIs.
Crie uma conta de serviço que represente a carga de trabalho. Recomendamos que você use uma conta de serviço dedicada para cada carga de trabalho. A conta de serviço não precisa estar no mesmo projeto que o pool de Identidade da carga de trabalho, mas você precisa se referir ao projeto que contém a conta de serviço.
Conceda à conta de serviço acesso a recursos que você quer que as identidades externas acessem.
Conceda a função do usuário de Identidade da carga de trabalho (
roles/iam.workloadIdentityUser
) à conta de serviço:
Para conceder acesso a uma identidade federada usando a identidade temporária de conta de serviço pelo console do Google Cloud ou pela gcloud CLI:
Console
Para usar o console do Google Cloud para conceder papéis do IAM a uma identidade federada com conta de serviço, faça isto:
Conta de serviço no mesmo projeto
Para conceder acesso usando a identidade temporária de conta de serviço no mesmo projeto, faça o seguinte:
Acesse a página pools de Identidade da carga de trabalho.
Selecione Conceder acesso.
Na caixa de diálogo Conceder acesso à conta de serviço, selecione Conceder acesso usando a identidade temporária de conta de serviço.
Na lista Contas de serviço, selecione a conta de serviço para as identidades externas que serão representadas e faça isto:
Para escolher quais identidades no pool podem representar a conta de serviço, realize uma das seguintes ações:
Para permitir que apenas identidades específicas do pool de Identidade da carga de trabalho representem a conta de serviço, selecione Somente identidades correspondentes ao filtro.
Na lista Nome do atributo, selecione o atributo que você quer filtrar.
No campo Valor do atributo, insira o valor esperado do atributo. Por exemplo, se você usar um
google.subject=assertion.sub
de mapeamento de atributos, defina o nome do Atributo comsubject
e o Valor do atributo com o valor da declaraçãosub
em tokens emitidos pelo seu provedor de identidade externo.
Para salvar a configuração, clique em Salvar e em Dispensar.
Conta de serviço em um projeto diferente
Para conceder acesso usando a identidade temporária de conta de serviço em um projeto diferente, faça o seguinte:
Acesse a página Contas de serviço.
Selecione a conta de serviço que você quer representar.
Clique em Gerenciar acesso.
Clique em Adicionar principal.
No campo Novo principal, insira um dos seguintes identificadores principais para as identidades no pool que vão representar a identidade da conta de serviço.
Por assunto
principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT
Substitua:
PROJECT_NUMBER
: o número do projetoPOOL_ID
: o ID do pool de carga de trabalhoSUBJECT
: o sujeito individual mapeado do IdP, por exemplo,administrator@example.com
Por grupo
principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP
Substitua:
PROJECT_NUMBER
: o número do projetoWORKLOAD_POOL_ID
: o ID do pool de carga de trabalhoGROUP
: o grupo mapeado do IdP, por exemplo:administrator-group@example.com
Por atributo
principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Substitua:
PROJECT_NUMBER
: o número do projetoWORKLOAD_POOL_ID
: o ID do pool de carga de trabalhoATTRIBUTE_NAME
: um dos atributos que foi mapeado do IdPATTRIBUTE_VALUE
: o valor do atributo
Por pool
principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
Substitua:
PROJECT_NUMBER
: o número do projetoWORKLOAD_POOL_ID
: o ID do pool de carga de trabalho
Em Selecionar um papel, selecione a função de usuário da Identidade da carga de trabalho (
roles/iam.workloadIdentityUser
).Para salvar a configuração, clique em Salvar.
gcloud
Para usar a gcloud CLI para conceder o papel Usuário de Identidade da carga de trabalho (roles/iam.workloadIdentityUser
) a identidades externas que atendam a determinados critérios, execute o comando a seguir.
Por assunto
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \ --role=roles/iam.workloadIdentityUser \ --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"
Por grupo
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \ --role=roles/iam.workloadIdentityUser \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"
Por atributo
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \ --role=roles/iam.workloadIdentityUser \ --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"
Substitua:
SERVICE_ACCOUNT_EMAIL
: o endereço de e-mail da conta de serviçoPROJECT_NUMBER
: o número do projeto que contém o pool de Identidade da carga de trabalhoPOOL_ID
: o ID do pool de identidade da carga de trabalhoSUBJECT
: o valor esperado do atributo mapeado paragoogle.subject
GROUP
: o valor esperado do atributo mapeado paragoogle.groups
ATTRIBUTE_NAME
: o nome de um atributo personalizado no seu mapeamento de atributosATTRIBUTE_VALUE
: o valor do atributo personalizado no seu mapeamento de atributos
Fazer o download ou criar uma configuração de credencial
As bibliotecas de cliente do Cloud e a gcloud CLI podem receber automaticamente credenciais externas e usá-las para representar uma conta de serviço. Para permitir que bibliotecas e ferramentas concluam esse processo, você precisa fornecer um arquivo de configuração de credenciais. Esse arquivo define o seguinte:
- De onde receber credenciais externas
- Qual pool de identidades de carga de trabalho e provedor usar
- Qual conta de serviço representar
Além disso, para a federação de certificados X.509, é necessário um arquivo de configuração de certificado. Esse arquivo contém caminhos para o certificado de cliente X.509 e os arquivos de chave privada.
Para criar arquivos de configuração de credenciais e certificados, faça o seguinte:
Acesso direto a recursos
Para criar arquivos de configuração de credenciais e certificados para acesso direto a recursos usando
gcloud iam workload-identity-pools create-cred-config
,
faça o seguinte:
Crie arquivos de configuração de credenciais e certificados que permitam que a biblioteca receba um token de acesso usando um certificado X.509.
gcloud iam workload-identity-pools create-cred-config projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \ --credential-cert-path CLIENT_CERT_PATH \ --credential-cert-private-key-path CLIENT_KEY_PATH \ --output-file=FILEPATH.json
Substitua:
PROJECT_NUMBER
: o número do projeto que contém o pool de Identidade da carga de trabalhoPOOL_ID
: o ID do pool de identidade da carga de trabalhoPROVIDER_ID
: o ID do provedor do pool de Identidade da carga de trabalhoCLIENT_CERT_PATH
: o caminho do arquivo de certificadoCLIENT_KEY_PATH
: o caminho do arquivo de chave privada do certificado do cliente.FILEPATH
: o arquivo em que a configuração será salva.
A execução desse comando também cria um arquivo de configuração de certificado e o armazena no local padrão da CLI do Google Cloud:
Linux e macOS:
~/.config/gcloud/certificate_config.json
Windows:
%APPDATA%\gcloud\certificate_config.json
Identidade temporária de conta de serviço
Para criar arquivos de configuração de credenciais e certificados com a identidade temporária de conta de serviço usando
gcloud iam workload-identity-pools create-cred-config
,
faça o seguinte:
Crie arquivos de configuração de credenciais e certificados que permitam que a biblioteca receba um token de acesso usando um certificado X.509.
gcloud iam workload-identity-pools create-cred-config \ projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \ --service-account=SERVICE_ACCOUNT_EMAIL \ --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \ --credential-cert-path CLIENT_CERT_PATH \ --credential-cert-private-key-path CLIENT_KEY_PATH \ --output-file=FILEPATH.json
Substitua:
PROJECT_NUMBER
: o número do projeto que contém o pool de Identidade da carga de trabalhoPOOL_ID
: o ID do pool de identidade da carga de trabalhoPROVIDER_ID
: o ID do provedor do pool de Identidade da carga de trabalhoSERVICE_ACCOUNT_EMAIL
: se você usa a identidade temporária de conta de serviço, substitua pelo endereço de e-mail da conta de serviço.SERVICE_ACCOUNT_TOKEN_LIFETIME
: se você usa a identidade temporária de conta de serviço, substitua pelo ciclo de vida do token de acesso à conta de serviço, em segundos. Quando não informado, o padrão é uma hora. Omita essa flag se você não usa a identidade temporária de conta de serviço. Para especificar um ciclo de vida com mais de uma hora, configure a restrição da política organizacionalconstraints/iam.allowServiceAccountCredentialLifetimeExtension
.CLIENT_CERT_PATH
: o caminho do arquivo de certificadoCLIENT_KEY_PATH
: o caminho do arquivo de chave privada do certificado do cliente.FILEPATH
: o arquivo em que a configuração será salva.
A execução desse comando também cria um arquivo de configuração de certificado e o armazena no local padrão da CLI do Google Cloud:
Linux e macOS:
~/.config/gcloud/certificate_config.json
Windows:
%APPDATA%\gcloud\certificate_config.json
Usar a configuração de credencial para acessar o Google Cloud
Para permitir que as ferramentas e as bibliotecas de cliente usem a configuração da sua credencial, faça o seguinte:
Inicialize uma variável de ambiente
GOOGLE_APPLICATION_CREDENTIALS
e aponte-a para o arquivo de configuração de credenciais:Bash
em queexport GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
FILEPATH
é o caminho relativo do arquivo de configuração de credenciais.PowerShell
em que$env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
FILEPATH
é o caminho relativo do arquivo de configuração de credenciais.Verifique se a biblioteca de cliente consegue encontrar o arquivo de configuração do certificado. O arquivo de configuração do certificado precisa ser armazenado no local padrão da CLI do Google Cloud:
Linux e macOS:
~/.config/gcloud/certificate_config.json
Windows:
%APPDATA%\gcloud\certificate_config.json
ou apontado pela variável de ambiente
GOOGLE_API_CERTIFICATE_CONFIG
.Use uma biblioteca de cliente ou ferramenta compatível com a federação de identidade da carga de trabalho e que possa encontrar credenciais automaticamente:
Go
As bibliotecas de cliente para Go são compatíveis com a federação de identidade da carga de trabalho X.509 se
usarem a versão 0.8.0 ou mais recente do módulo cloud.google.com/go/auth
e
a versão 0.189.0 do módulo google.golang.org/api
.
Para verificar qual versão desses módulos a biblioteca de cliente usa, execute o seguinte comando no diretório que contém o arquivo go.mod do módulo:
go list -m cloud.google.com/go/auth
go list -m cloud.google.com/api
Python
As bibliotecas de cliente para Python são compatíveis com a federação de identidade da carga de trabalho X.509 se usarem a versão
2.32.0 ou mais recente do
pacote google-auth
.
Para verificar qual versão desse pacote sua biblioteca de cliente usa, execute o seguinte comando no ambiente em que o pacote está instalado:
pip show google-auth
Para especificar um ID de projeto para o cliente de autenticação, defina a
variável de ambiente GOOGLE_CLOUD_PROJECT
ou permita que o cliente encontre
o ID do projeto automaticamente. Para encontrar o ID do projeto automaticamente, a conta de
serviço no arquivo de configuração precisa ter o papel de Navegador (roles/browser
)
ou um papel com permissões equivalentes no projeto. Para ver detalhes, consulte o
guia do usuário do pacote google-auth
.
gcloud
Para autenticar usando a federação de identidade da carga de trabalho X.509, use o comando
gcloud auth login
:
gcloud auth login --cred-file=FILEPATH.json
Substitua FILEPATH
pelo caminho do
arquivo de configuração de credencial.
O suporte para a federação de identidade da carga de trabalho X.509 na gcloud CLI está disponível na versão 488.0.0 e posteriores da gcloud CLI.
Receber um token de acesso usando uma solicitação simples para acessar o Google Cloud
Para receber o token de acesso, faça o seguinte:
Use o curl para realizar a troca de token com mTLS e o certificado do cliente:
curl --key CLIENT_CERT_KEY \ --cert CLIENT_CERT \ --request POST 'https://sts.mtls.googleapis.com/v1/token' \ --header "Content-Type: application/json" \ --data-raw '{ "subject_token_type": "urn:ietf:params:oauth:token-type:mtls", "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange", "audience": "WORKLOAD_IDENTITY_POOL_URI", "requested_token_type": "urn:ietf:params:oauth:token-type:access_token", "scope": "https://www.googleapis.com/auth/cloud-platform", }'
Substitua:
CLIENT_CERT_KEY
: a chave privada do certificado do clienteCLIENT_CERT
: certificado do clienteWORKLOAD_IDENTITY_POOL_URI
: o URL do provedor do pool de identidades da carga de trabalho no seguinte formato://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
Use o token de acesso de portador gerado na etapa anterior para acessar os recursos do Google Cloud. Por exemplo:
curl -X GET 'https://storage.googleapis.com/my_object' -H "Authorization: Bearer $ACCESS_TOKEN"
Cotas e limites
A tabela a seguir lista as cotas e os limites.
Item | Cotas e limites | Observações |
---|---|---|
Número de âncoras de confiança | Limite: 3 | Cada certificado não pode exceder 32 KB. |
Número de certificados intermediários | Limite: 10 | Cada certificado não pode exceder 32 KB. |
Número de restrições de nome permitidas durante a validação de certificados raiz e intermediários | Limite: 10 | |
Certificados intermediários que compartilham as mesmas informações de Assunto e de Chave pública do assunto | Limite: 5 | Esse limite é para cada repositório de confiança. |
Profundidade da cadeia de certificados | Limite: 5 | A profundidade máxima de uma cadeia de certificados, incluindo os certificados raiz e do cliente. |
Número de vezes que os certificados intermediários podem ser avaliados ao tentar criar a cadeia de confiança | Limite: 100 | |
Chaves de certificados enviados e passados do cliente | Limite: as chaves RSA podem ter de 2.048 a 4.096 bits Os certificados ECDSA precisam usar curvas P-256 ou P-384 |
RSA-2048 e P-256 são recomendados para casos de uso normais. Use outros para práticas recomendadas de segurança. |
A seguir
- Leia mais sobre a federação de identidade da carga de trabalho.
- Conheça as práticas recomendadas para usar a federação de identidade da carga de trabalho.
- Veja como gerenciar pools e provedores de identidade de carga de trabalho.