Workload Identity-Föderation mit X.509-Zertifikaten konfigurieren

In diesem Leitfaden wird beschrieben, wie Sie die Workload Identity-Föderation mit X.509-Zertifikaten verwenden, die von Ihrer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt wurden, um sich bei Google Cloud zu authentifizieren und auf Google Cloud-Ressourcen zuzugreifen.

Wenn Ihre Arbeitslasten ein mTLS-Clientzertifikat haben, können Sie sich bei Google Cloud authentifizieren, indem Sie eine oder mehrere Zertifizierungsstellen bei der Workload Identity-Föderation als Trust Anchors registrieren. Sie können auch Zwischenzertifizierungsstellen registrieren.

Mit der Workload Identity-Föderation können Sie diese Arbeitslasten kurzlebige Google Cloud-Anmeldedaten über eine gegenseitige TLS-Verbindung (mTLS) abrufen lassen. Arbeitslasten können mit diesen kurzlebigen Anmeldedaten auf Google Cloud APIs zugreifen.

Konzepte

Zu den X.509-Zertifikat-basierten Föderationskonzepten gehören:

• Ein Vertrauensanker ist ein CA-Zertifikat, das als Vertrauensbasis gilt. Alle Clientzertifikatsketten sollten mit einem der Trustanchors verknüpft sein.

• Ein Zwischenzertifikat ist ein optionales Zertifikat einer Zertifizierungsstelle, das beim Erstellen der Clientzertifikatskette hilft.

• Ein Trust Store enthält die Trust Anchor-Zertifikate und Zwischen-CA-Zertifikate, die zum Validieren der Clientzertifikatskette verwendet werden. Eine Zertifizierungsstelle stellt vertrauenswürdige Zertifikate für den Client aus.

  Sie können die folgenden Arten von Clientzertifikaten in den Trust Store hochladen:

  • Von Drittanbieter-Zertifizierungsstellen Ihrer Wahl ausgestellte Zertifikate
  • Von Ihren privaten Zertifizierungsstellen ausgestellte Zertifikate
  • Signierte Zertifikate, wie unter Selbst signierte Zertifikate erstellen beschrieben

Hinweise

So konfigurieren Sie die Workload Identity-Föderation:

1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

Wir empfehlen, ein dediziertes Projekt zur Verwaltung von Workload Identity-Pools und -Anbietern.

2. Make sure that billing is enabled for your Google Cloud project.

Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.

Enable the APIs

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Workload Identity-Föderation benötigen:

• Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin)
• Service Account Admin (roles/iam.serviceAccountAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Alternativ enthält die einfache Rolle „IAM-Inhaber“ (roles/owner) auch Berechtigungen zum Konfigurieren der Identitätsföderation. In einer Produktionsumgebung sollten Sie keine einfachen Rollen zuweisen, Sie können sie aber in einer Entwicklungs- oder Testumgebung gewähren.

Identitätsföderation von Arbeitslasten konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie die Workload Identity-Föderation und Ihren Vertrauensspeicher konfigurieren. Sie müssen diese Schritte nur einmal für jeden Truststore ausführen. Sie können dann denselben Workload Identity-Pool und -Anbieter für mehrere Arbeitslasten und mehrere Google Cloud-Projekte verwenden.

Vertrauensspeicher erstellen und konfigurieren

In diesem Abschnitt wird gezeigt, wie Sie eine YAML-Konfigurationsdatei für den Truststore und ein selbstsigniertes CA-Zertifikat erstellen.

Schlüssel und signierte Zertifikate generieren

In diesem Abschnitt werden openssl-Befehle verwendet, um Root- und Zwischenzertifikate zu erstellen.

Wenn Sie bereits Zertifikate haben, können Sie diesen Schritt überspringen und mit Zertifikate formatieren fortfahren.

So generieren Sie ein Root-Zertifikat und ein signiertes Zwischenzertifikat mit gültigen Feldern keyUsage und extendedKeyUsage:

1. Erstellen Sie eine Beispieldatei vom Typ example.cnf mit der Mindestkonfiguration, die zum Erstellen gültiger Signaturzertifikate erforderlich ist. Sie können diese Datei bearbeiten, um zusätzliche Felder für diese Zertifikate festzulegen.

   cat > example.cnf << EOF
   [req]
   distinguished_name = empty_distinguished_name
   [empty_distinguished_name]
   # Kept empty to allow setting via -subj command line arg.
   [ca_exts]
   basicConstraints=critical,CA:TRUE
   keyUsage=keyCertSign
   extendedKeyUsage=clientAuth
   EOF
   

2. Erstellen Sie das Root-Zertifikat:

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=root' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout root.key -out root.cert
   

3. Erstellen Sie die Signaturanfrage für das Zwischenzertifikat:

   openssl req \
       -new -sha256 -newkey rsa:2048 -nodes \
       -subj '/CN=int' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout int.key -out int.req
   

4. Erstellen Sie das Zwischenzertifikat:

   openssl x509 -req \
       -CAkey root.key -CA root.cert \
       -set_serial 1 \
       -days 3650 \
       -extfile example.cnf \
       -extensions ca_exts \
       -in int.req -out int.cert
   

Zertifikate formatieren

Wenn Sie neue oder vorhandene Zertifikate in einen Trust Store aufnehmen möchten, formatieren Sie die Zertifikate in einer einzelnen Zeile und speichern Sie sie in Umgebungsvariablen, damit sie in die YAML-Datei gelesen werden können. Die Zertifikate müssen im PEM-Format vorliegen. So formatieren Sie die Zertifikate und speichern sie in Umgebungsvariablen:

1. Speichern Sie das Root-Zertifikat als einzeiligen String:

   export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

2. Speichern Sie ein Zwischenzertifikat als einzeiligen String:

   export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

YAML-Datei für den Truststore erstellen

In diesem Abschnitt erstellen Sie eine YAML-Datei für den Trust Store, die Ihre Trust-Anchors und Zwischen-CAs enthält.

Führen Sie den folgenden Befehl aus, um die YAML-Datei für den Trust Store zu erstellen. Diese Datei enthält den Zertifikatsinhalt aus den Umgebungsvariablen, die Sie unter Zertifikate formatieren erstellt haben. Wenn Sie weitere Vertrauensanker hinzufügen möchten, fügen Sie unter trustStore weitere trustAnchors-Einträge hinzu. Wenn Sie zusätzliche Zwischenzertifizierungsstellenzertifikate hinzufügen möchten, fügen Sie unter trustStore weitere intermediateCas-Einträge hinzu.

cat << EOF > trust_store.yaml
trustStore:
  trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF

Attributzuordnung und -bedingung definieren

Das X.509-Zertifikat des Clients kann mehrere Attribute enthalten. Sie müssen auswählen, welches Attribut Sie als Betreff-ID verwenden möchten. Ordnen Sie dazu google.subject in Google Cloud dem Attribut aus Ihrem Zertifikat zu. Wenn das Attribut im Zertifikat beispielsweise der gemeinsame Name des Subjekts ist, sieht die Zuordnung so aus: google.subject=assertion.subject.dn.cn

Optional können Sie zusätzliche Attribute zuordnen. Sie können dann auf diese Attribute verweisen, wenn Sie Zugriff auf Ressourcen gewähren.

Ihre Attributzuordnungen können die Attribute im Clientzertifikat verwenden, darunter:

• serialNumberHex: die Seriennummer
• subject.dn.cn: der gemeinsame Name des Subjekts
• subject.dn.o: der Name der betreffenden Organisation
• subject.dn.ou: die betreffende Organisationseinheit
• issuer.dn.cn: der gemeinsame Name des Ausstellers
• issuer.dn.o: der Name der Ausstellerorganisation
• issuer.dn.ou: die Organisationseinheit des Ausstellers
• san.dns: der erste DNS-Name des alternativen Antragstellernamens
• san.uri: der erste URI des alternativen Namens des Subjekts

Sie müssen eine dieser Anforderungen google.subject zuordnen, um das Subjekt eindeutig zu identifizieren. Wählen Sie zum Schutz vor Spoofing-Bedrohungen ein Attribut mit einem eindeutigen Wert aus, der nicht geändert werden kann. Standardmäßig ist die google.subject-ID auf den allgemeinen Namen des Zertifikatsubjekts des Clientzertifikats, assertion.subject.dn.cn, festgelegt.

Optional: Definieren Sie eine Attributbedingung. Attributbedingungen sind CEL-Ausdrücke, die Assertion-Attribute und Zielattribute prüfen können. Wenn die Attributbedingung bei bestimmten Anmeldedaten als true ausgewertet wird, werden die Anmeldedaten akzeptiert. Andernfalls werden die Anmeldedaten abgelehnt.

Mit einer Attributbedingung können Sie einschränken, welche Subjekte die Workload Identity-Föderation verwenden können, um kurzlebige Google Cloud-Tokens abzurufen.

Die folgende Bedingung schränkt beispielsweise den Zugriff auf Clientzertifikate mit der SPIFFE-ID spiffe://example/path ein:

assertion.san.uri=="spiffe://example/path"

Workload Identity-Pool und -Anbieter erstellen

1. Führen Sie folgenden Befehl aus, um einen neuen Workload Identity-Pool zu erstellen:

   gcloud iam workload-identity-pools create POOL_ID \
       --location="global" \
       --description="DESCRIPTION" \
       --display-name="DISPLAY_NAME"
   

   Ersetzen Sie Folgendes:

   • POOL_ID: die eindeutige ID des Pools.
   • DISPLAY_NAME: der Name des Pools.
   • DESCRIPTION: eine Beschreibung des von Ihnen gewählten Pools. Diese Beschreibung wird angezeigt, wenn Sie Zugriff auf Poolidentitäten gewähren.

2. Führen Sie folgenden Befehl aus, um einen X.509-Workload Identity-Pool-Anbieter hinzuzufügen:

   gcloud iam workload-identity-pools providers create-x509 PROVIDER_ID \
       --location=global \
       --workload-identity-pool="POOL_ID" \
       --trust-store-config-path="TRUST_STORE_CONFIG" \
       --attribute-mapping="MAPPINGS" \
       --attribute-condition="CONDITIONS" \
       --billing-project="ALLOWLISTED_PROJECT"
   

   Ersetzen Sie Folgendes:

   • PROVIDER_ID: eine eindeutige Anbieter-ID für Workload Identity-Pool Ihrer Wahl.
   • POOL_ID: die ID des Workload Identity-Pools, die Sie zuvor erstellt haben.
   • TRUST_STORE_CONFIG: Die YAML-Datei des Trust Stores.
   • MAPPINGS: eine durch Kommas getrennte Liste der Attributzuordnungen, die Sie zuvor in dieser Anleitung erstellt haben. Wenn Sie google.subject nicht angeben, wird die Standardzuordnung google.subject=assertion.subject.dn.cn verwendet.
   • CONDITIONS: eine optionale Attributbedingung, die Sie zuvor in dieser Anleitung erstellt haben. Entfernen Sie den Parameter, wenn keine Attributbedingung vorliegt.
   • ALLOWLISTED_PROJECT: die Projekt-ID

Arbeitslast authentifizieren

Sie müssen diese Schritte einmal für jede Arbeitslast ausführen.

Externer Arbeitslast Zugriff auf Google Cloud-Ressourcen gewähren

Damit Ihre Arbeitslast auf Google Cloud-Ressourcen zugreifen kann, empfehlen wir, dem Hauptkonto direkten Ressourcenzugriff zu gewähren. In diesem Fall ist das Hauptkonto der föderierte Nutzer. Für einige Google Cloud-Produkte gelten Einschränkungen der Google Cloud API. Wenn Ihre Arbeitslast einen API-Endpunkt aufruft, der eingeschränkt ist, können Sie stattdessen die Identitätsübernahme des Dienstkontos verwenden. In diesem Fall ist das Google Cloud-Dienstkonto das Hauptkonto, das als Identität dient. Sie gewähren dem Dienstkonto Zugriff auf die Ressource.

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

Anmeldedaten-Konfiguration herunterladen oder erstellen

Die Cloud-Clientbibliotheken und die gcloud CLI können automatisch externe Anmeldedaten abrufen und mit diesen die Identität eines Dienstkontos übernehmen. Damit Bibliotheken und Tools diesen Vorgang abschließen können, müssen Sie eine Konfigurationsdatei für Anmeldedaten angeben. Die Datei definiert Folgendes:

• Wo externe Anmeldedaten abgerufen werden
• Welcher Workload Identity-Pool und -Anbieter verwendet werden
• Welches Dienstkonto übernommen wird

Für die X.509-Zertifikatsfederation ist außerdem eine Zertifikatskonfigurationsdatei erforderlich. Diese Datei enthält Pfade zu den X.509-Clientzertifikat- und privaten Schlüsseldateien.

So erstellen Sie Konfigurationsdateien für Anmeldedaten und Zertifikate:

gcloud iam workload-identity-pools create-cred-config
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

Anmeldedatenkonfiguration für den Zugriff auf Google Cloud verwenden

Gehen Sie so vor, damit Ihre Anmeldedatenkonfiguration von Tools und Clientbibliotheken verwendet werden kann:

1. Initialisieren Sie eine Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS und verweisen Sie auf die Konfigurationsdatei für Anmeldedaten:

   Bash

     export GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
     

   Dabei ist FILEPATH der relative Pfad zur Konfigurationsdatei für Anmeldedaten.

   PowerShell

     $env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
     

   Dabei ist FILEPATH der relative Pfad zur Konfigurationsdatei für Anmeldedaten.

2. Die Clientbibliothek muss die Zertifikatskonfigurationsdatei finden können. Die Zertifikatskonfigurationsdatei sollte entweder am Standardspeicherort der Google Cloud CLI gespeichert sein:

   • Linux und macOS: ~/.config/gcloud/certificate_config.json

   • Windows: %APPDATA%\gcloud\certificate_config.json

   oder auf die die Umgebungsvariable GOOGLE_API_CERTIFICATE_CONFIG verweist.

3. Verwenden Sie eine Clientbibliothek oder ein Tool, das die Workload Identity-Föderation unterstützt und Anmeldedaten automatisch finden kann:

  go list -m cloud.google.com/go/auth
  go list -m cloud.google.com/api

  pip show google-auth

  gcloud auth login --cred-file=FILEPATH.json
  

Zugriffstoken mit einer einfachen Anfrage für den Zugriff auf Google Cloud abrufen

So rufen Sie das Zugriffstoken ab:

1. Führe mit curl den Tokenaustausch mit mTLS und dem Clientzertifikat durch:

   curl --key CLIENT_CERT_KEY \
   --cert CLIENT_CERT \
   --request POST 'https://sts.mtls.googleapis.com/v1/token' \
   --header "Content-Type: application/json" \
   --data-raw '{
       "subject_token_type": "urn:ietf:params:oauth:token-type:mtls",
       "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
       "audience": "WORKLOAD_IDENTITY_POOL_URI",
       "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
       "scope": "https://www.googleapis.com/auth/cloud-platform",
   }'
   

   Ersetzen Sie Folgendes:

   • CLIENT_CERT_KEY: Der private Schlüssel des Clientzertifikats
   • CLIENT_CERT: das Clientzertifikat

   • WORKLOAD_IDENTITY_POOL_URI: die URL des Workload Identity-Poolanbieters im folgenden Format:

     //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

2. Verwenden Sie das im vorherigen Schritt generierte Bearer-Zugriffstoken, um auf Google Cloud-Ressourcen zuzugreifen, z. B.:

   curl -X GET 'https://storage.googleapis.com/my_object' -H "Authorization: Bearer $ACCESS_TOKEN"
   

Kontingente und Limits

In der folgenden Tabelle sind Kontingente und Limits aufgeführt.

Nächste Schritte

• Weitere Informationen zur Workload Identity-Föderation
• Best Practices für die Verwendung der Workload Identity-Föderation
• Workload Identity-Pools und -Anbieter verwalten