Mengonfigurasi Workload Identity Federation dengan sertifikat X.509

Panduan ini menjelaskan cara menggunakan Workload Identity Federation dengan sertifikat X.509 yang diterbitkan oleh certificate authority (CA) Anda untuk melakukan autentikasi ke Google Cloud dan mengakses resource Google Cloud.

Jika workload Anda memiliki sertifikat klien mTLS, Anda dapat melakukan autentikasi ke Google Cloud dengan mendaftarkan satu atau beberapa CA ke Workload Identity Federation sebagai anchor kepercayaan. Anda juga dapat mendaftarkan CA perantara.

Dengan menggunakan Workload Identity Federation, Anda dapat mengizinkan workload ini mendapatkan kredensial Google Cloud jangka pendek melalui koneksi TLS bersama (mTLS). Workload dapat menggunakan kredensial jangka pendek ini untuk mengakses Google Cloud API.

Konsep

Konsep federasi berbasis sertifikat X.509 mencakup hal berikut:

• Anchor kepercayaan adalah sertifikat CA yang dianggap sebagai root kepercayaan. Setiap rantai sertifikat klien harus dirantai ke salah satu anchor kepercayaan.

• CA perantara adalah sertifikat certificate authority opsional yang membantu membuat rantai sertifikat klien.

• Trust store berisi sertifikat anchor kepercayaan dan sertifikat CA perantara yang digunakan untuk memvalidasi rantai sertifikat klien. CA menerbitkan sertifikat tepercaya untuk klien.

  Anda dapat mengupload jenis sertifikat klien berikut ke trust store:

  • Sertifikat yang dikeluarkan oleh CA pihak ketiga pilihan Anda
  • Sertifikat yang diterbitkan oleh CA pribadi Anda
  • Sertifikat yang ditandatangani, seperti yang dijelaskan dalam Membuat sertifikat yang ditandatangani sendiri

Sebelum memulai

Untuk mulai mengonfigurasi Workload Identity Federation, lakukan langkah berikut:

1. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

   Buka pemilih project

Sebaiknya Anda menggunakan project khusus untuk mengelola workload identity pool dan penyedia workload.

2. Make sure that billing is enabled for your Google Cloud project.

Aktifkan API IAM, Resource Manager, Service Account Credentials, and Security Token Service.

Mengaktifkan API

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna mengonfigurasi Workload Identity Federation, minta administrator untuk memberi Anda peran IAM berikut pada project:

• Admin Workload Identity Pool (roles/iam.workloadIdentityPoolAdmin)
• Service Account Admin (roles/iam.serviceAccountAdmin)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Peran dasar pemilik IAM (roles/owner) juga mencakup izin untuk mengonfigurasi penggabungan identitas. Anda tidak boleh memberikan peran dasar dalam lingkungan produksi, tetapi Anda dapat memberikannya dalam lingkungan pengembangan atau pengujian.

Mengonfigurasi Workload Identity Federation

Bagian ini menunjukkan cara mengonfigurasi Workload Identity Federation dan trust store Anda. Anda hanya perlu melakukan langkah-langkah ini satu kali untuk setiap trust store. Anda kemudian dapat menggunakan workload identity pool dan penyedia workload yang sama untuk beberapa workload dan di beberapa project Google Cloud.

Membuat dan mengonfigurasi trust store

Bagian ini menunjukkan cara membuat file konfigurasi YAML trust store dan sertifikat CA yang ditandatangani sendiri.

Membuat kunci dan sertifikat yang ditandatangani

Bagian ini menggunakan perintah openssl untuk membuat sertifikat root dan antara.

Jika sudah memiliki sertifikat, Anda dapat melewati langkah ini dan melanjutkan ke Memformat sertifikat.

Untuk membuat root certificate dan sertifikat antara yang ditandatangani dengan kolom keyUsage dan extendedKeyUsage yang valid, lakukan hal berikut:

1. Buat contoh file example.cnf dengan konfigurasi minimum yang diperlukan untuk membuat sertifikat penandatanganan yang valid. Anda dapat mengedit file ini untuk menetapkan kolom tambahan pada sertifikat ini.

   cat > example.cnf << EOF
   [req]
   distinguished_name = empty_distinguished_name
   [empty_distinguished_name]
   # Kept empty to allow setting via -subj command line arg.
   [ca_exts]
   basicConstraints=critical,CA:TRUE
   keyUsage=keyCertSign
   extendedKeyUsage=clientAuth
   EOF
   

2. Buat root certificate:

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=root' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout root.key -out root.cert
   

3. Buat permintaan penandatanganan untuk sertifikat perantara:

   openssl req \
       -new -sha256 -newkey rsa:2048 -nodes \
       -subj '/CN=int' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout int.key -out int.req
   

4. Buat sertifikat intermediate:

   openssl x509 -req \
       -CAkey root.key -CA root.cert \
       -set_serial 1 \
       -days 3650 \
       -extfile example.cnf \
       -extensions ca_exts \
       -in int.req -out int.cert
   

Memformat sertifikat

Untuk menyertakan sertifikat baru atau yang sudah ada di trust store, format sertifikat menjadi satu baris dan simpan di variabel lingkungan, sehingga dapat dibaca ke dalam file YAML. Sertifikat harus berformat PEM. Untuk memformat sertifikat dan menyimpan dalam variabel lingkungan, lakukan hal berikut:

1. Simpan root certificate sebagai string satu baris:

   export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

2. Simpan intermediate certificate sebagai string satu baris:

   export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

Membuat file YAML trust store

Di bagian ini, Anda akan membuat file YAML trust store yang berisi anchor kepercayaan dan CA perantara.

Untuk membuat file YAML trust store, jalankan perintah berikut. File ini berisi konten sertifikat dari variabel lingkungan yang Anda buat di Memformat sertifikat. Untuk menambahkan anchor kepercayaan tambahan, tambahkan entri trustAnchors tambahan di bagian trustStore. Untuk menambahkan sertifikat CA perantara tambahan, tambahkan entri intermediateCas tambahan di bagian trustStore.

cat << EOF > trust_store.yaml
trustStore:
  trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF

Menentukan pemetaan dan kondisi atribut

Sertifikat X.509 klien dapat berisi beberapa atribut. Anda harus memilih atribut yang ingin digunakan sebagai ID subjek dengan memetakan google.subject di Google Cloud ke atribut dari sertifikat Anda. Misalnya, jika atribut dalam sertifikat adalah nama umum subjek, pemetaan akan menjadi sebagai berikut: google.subject=assertion.subject.dn.cn

Secara opsional, Anda dapat memetakan atribut tambahan. Selanjutnya, Anda dapat merujuk ke atribut ini saat memberikan akses ke resource.

Pemetaan atribut Anda dapat menggunakan atribut dalam sertifikat klien, termasuk berikut:

• serialNumberHex: nomor seri
• subject.dn.cn: nama umum subjek
• subject.dn.o: nama organisasi subjek
• subject.dn.ou: unit organisasi subjek
• issuer.dn.cn: nama umum penerbit
• issuer.dn.o: nama organisasi penerbit
• issuer.dn.ou: unit organisasi penerbit
• san.dns: nama DNS pertama nama alternatif subjek
• san.uri: URI pertama nama alternatif subjek

Anda harus memetakan salah satu atribut ini ke google.subject untuk mengidentifikasi subjek secara unik. Untuk melindungi dari ancaman spoofing, pilih atribut dengan nilai unik yang tidak dapat diubah. Secara default, ID google.subject ditetapkan ke nama umum subjek sertifikat klien, assertion.subject.dn.cn.

Opsional: Tentukan kondisi atribut. Kondisi atribut adalah ekspresi CEL yang dapat memeriksa atribut pernyataan dan atribut target. Jika kondisi atribut dievaluasi ke true untuk kredensial tertentu, kredensial tersebut akan diterima. Jika tidak, kredensial akan ditolak.

Anda dapat menggunakan kondisi atribut untuk membatasi subjek yang dapat menggunakan Workload Identity Federation untuk mendapatkan token Google Cloud dengan masa berlaku singkat.

Misalnya, kondisi berikut membatasi akses ke sertifikat klien yang berisi ID SPIFFE spiffe://example/path:

assertion.san.uri=="spiffe://example/path"

Membuat workload identity pool dan penyedia workload

1. Untuk membuat workload identity pool baru, jalankan perintah berikut:

   gcloud iam workload-identity-pools create POOL_ID \
       --location="global" \
       --description="DESCRIPTION" \
       --display-name="DISPLAY_NAME"
   

   Ganti kode berikut:

   • POOL_ID: ID unik untuk pool.
   • DISPLAY_NAME: nama pool.
   • DESCRIPTION: deskripsi pool yang Anda pilih. Deskripsi ini muncul saat Anda memberikan akses ke identitas pool.

2. Untuk menambahkan penyedia workload identity pool X.509, jalankan perintah berikut:

   gcloud iam workload-identity-pools providers create-x509 PROVIDER_ID \
       --location=global \
       --workload-identity-pool="POOL_ID" \
       --trust-store-config-path="TRUST_STORE_CONFIG" \
       --attribute-mapping="MAPPINGS" \
       --attribute-condition="CONDITIONS" \
       --billing-project="ALLOWLISTED_PROJECT"
   

   Ganti kode berikut:

   • PROVIDER_ID: ID penyedia unik untuk workload identity pool yang Anda pilih.
   • POOL_ID: ID workload identity pool yang telah Anda buat sebelumnya.
   • TRUST_STORE_CONFIG: File YAML trust store.
   • MAPPINGS: Daftar yang dipisahkan koma untuk pemetaan atribut yang telah Anda buat sebelumnya dalam panduan ini. Jika Anda tidak menentukan google.subject, pemetaan defaultnya adalah google.subject=assertion.subject.dn.cn
   • CONDITIONS: Kondisi atribut opsional yang telah Anda buat sebelumnya dalam panduan ini. Hapus parameter jika Anda tidak memiliki kondisi atribut.
   • ALLOWLISTED_PROJECT: Project ID.

Mengautentikasi workload

Langkah ini harus dilakukan satu kali untuk setiap workload.

Mengizinkan workload eksternal Anda mengakses resource Google Cloud

Untuk memberi beban kerja Anda akses ke resource Google Cloud, sebaiknya Anda memberikan akses resource langsung ke akun utama. Dalam hal ini, prinsipal adalah pengguna gabungan. Beberapa produk Google Cloud memiliki batasan Google Cloud API. Jika beban kerja Anda memanggil endpoint API yang memiliki batasan, Anda dapat menggunakan peniruan identitas akun layanan. Dalam hal ini, akun utama adalah akun layanan Google Cloud, yang bertindak sebagai identitas. Anda memberikan akses ke akun layanan di resource.

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

Mendownload atau membuat konfigurasi kredensial

Library Klien Cloud dan gcloud CLI dapat otomatis memperoleh kredensial eksternal, dan menggunakan kredensial ini untuk meniru identitas akun layanan. Agar library dan alat dapat menyelesaikan proses ini, Anda harus menyediakan file konfigurasi kredensial. File ini menentukan hal berikut:

• Tempat Anda bisa memperoleh kredensial eksternal
• Workload identity pool dan penyedia workload identity yang akan digunakan
• Akun layanan yang akan ditiru

Selain itu, untuk federasi sertifikat X.509, file konfigurasi sertifikat diperlukan. File ini berisi jalur ke file kunci pribadi dan sertifikat klien X.509.

Untuk membuat file konfigurasi kredensial dan sertifikat, lakukan hal berikut:

gcloud iam workload-identity-pools create-cred-config
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

Menggunakan konfigurasi kredensial untuk mengakses Google Cloud

Untuk mengizinkan alat dan library klien menggunakan konfigurasi kredensial Anda, lakukan hal berikut:

1. Lakukan inisialisasi variabel lingkungan GOOGLE_APPLICATION_CREDENTIALS dan arahkan ke file konfigurasi kredensial:

   Bash

     export GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
     

   dengan FILEPATH adalah jalur relatif ke file konfigurasi kredensial.

   PowerShell

     $env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
     

   dengan FILEPATH adalah jalur relatif ke file konfigurasi kredensial.

2. Pastikan library klien dapat menemukan file konfigurasi sertifikat. File konfigurasi sertifikat harus disimpan di lokasi Google Cloud CLI default:

   • Linux dan macOS: ~/.config/gcloud/certificate_config.json

   • Windows: %APPDATA%\gcloud\certificate_config.json

   atau ditunjuk oleh variabel lingkungan GOOGLE_API_CERTIFICATE_CONFIG.

3. Gunakan library klien atau alat yang mendukung Workload Identity Federation dan dapat menemukan kredensial secara otomatis:

  go list -m cloud.google.com/go/auth
  go list -m cloud.google.com/api

  pip show google-auth

  gcloud auth login --cred-file=FILEPATH.json
  

Mendapatkan token akses menggunakan permintaan biasa untuk mengakses Google Cloud

Untuk mendapatkan token akses, lakukan langkah berikut:

1. Gunakan curl untuk melakukan pertukaran token dengan mTLS dan sertifikat klien:

   curl --key CLIENT_CERT_KEY \
   --cert CLIENT_CERT \
   --request POST 'https://sts.mtls.googleapis.com/v1/token' \
   --header "Content-Type: application/json" \
   --data-raw '{
       "subject_token_type": "urn:ietf:params:oauth:token-type:mtls",
       "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
       "audience": "WORKLOAD_IDENTITY_POOL_URI",
       "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
       "scope": "https://www.googleapis.com/auth/cloud-platform",
   }'
   

   Ganti kode berikut:

   • CLIENT_CERT_KEY: kunci pribadi sertifikat klien
   • CLIENT_CERT: sertifikat klien

   • WORKLOAD_IDENTITY_POOL_URI: URL penyedia workload identity pool dalam format berikut:

     //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

2. Gunakan token akses pembawa yang dibuat di langkah sebelumnya untuk mengakses resource Google Cloud—misalnya:

   curl -X GET 'https://storage.googleapis.com/my_object' -H "Authorization: Bearer $ACCESS_TOKEN"
   

Kuota dan batas

Tabel berikut mencantumkan kuota dan batas.

Langkah selanjutnya

• Baca selengkapnya tentang Workload Identity Federation.
• Pelajari praktik terbaik untuk menggunakan Workload Identity Federation.
• Lihat cara mengelola workload identity pool dan penyedia workload identity.