Utilizzo di Workload Identity

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo documento mostra come abilitare e configurare Workload Identity nei tuoi cluster Google Kubernetes Engine (GKE). Workload Identity consente ai carichi di lavoro nei tuoi cluster GKE di impersonare account di servizio Identity and Access Management (IAM) per accedere ai servizi Google Cloud. Per scoprire di più sul funzionamento di Workload Identity, vedi Workload Identity.

Limitazioni

  • GKE crea un pool di identità del carico di lavoro fisso per ogni progetto Google Cloud, nel formato PROJECT_ID.svc.id.goog.

  • Workload Identity sostituisce la necessità di utilizzare l'occultamento dei metadati. I metadati sensibili protetti dall'occultamento dei metadati sono protetti anche da Workload Identity.

  • Quando GKE abilita il server di metadati GKE su un pool di nodi, i pod non possono più accedere al server di metadati Compute Engine. Tuttavia, il server di metadati GKE intercetta le richieste effettuate da questi pod agli endpoint di metadati, ad eccezione dei pod in esecuzione sulla rete host.

  • Workload Identity non può essere utilizzato dai pod in esecuzione sulla rete host. Le richieste effettuate da questi pod agli endpoint di metadati vengono instradate al server di metadati di Compute Engine.

  • Il server metadati GKE richiede alcuni secondi per iniziare ad accettare richieste su un pod appena creato. Pertanto, i tentativi di autenticazione tramite Workload Identity entro i primi secondi della durata di un pod potrebbero non riuscire. Riprovando la chiamata risolverai il problema. Per ulteriori dettagli, consulta la pagina Risoluzione dei problemi.

  • Gli agenti di logging e monitoraggio integrati di GKE continuano a utilizzare l'account di servizio del nodo.

  • Workload Identity richiede la configurazione manuale di Cloud Run for Anthos per continuare a rilasciare le metriche delle richieste.

  • Workload Identity installa ip-masq-agent se il cluster viene creato senza il flag --disable-default-snat.

  • Workload Identity imposta un limite di 200 connessioni al server di metadati GKE per ciascun nodo per evitare problemi di memoria. Potresti riscontrare timeout se i nodi superano questo limite.

  • Workload Identity per i nodi Windows Server è disponibile nelle versioni di GKE 1.18.16-gke.1200, 1.19.8-gke.1300, 1.20.4-gke.1500 e successive.

  • Il server metadati GKE utilizza risorse di memoria proporzionali al numero totale degli account di servizio Kubernetes nel cluster. Se il tuo cluster ha più di 3000 account di servizio Kubernetes, il kubelet potrebbe terminare i pod del server di metadati. Per le mitigazioni, consulta la sezione Risoluzione dei problemi.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

  • Abilita l'API Google Kubernetes Engine.
  • Abilita l'API Google Kubernetes Engine
  • Se vuoi utilizzare Google Cloud CLI per questa attività, installa e poi inizializza l'interfaccia a riga di comando gcloud.
  • Assicurati di aver abilitato l'API IAM Service Account Credentials.

    Abilita l'API IAM Credentials

  • Assicurati di disporre dei seguenti ruoli IAM:

    • roles/container.admin
    • roles/iam.serviceAccountAdmin

Abilita Workload Identity

Puoi abilitare Workload Identity in cluster e pool di nodi utilizzando Google Cloud CLI o Google Cloud Console. Workload Identity deve essere abilitato a livello di cluster prima di poter abilitare Workload Identity nei pool di nodi.

I cluster Autopilot abilitano Workload Identity per impostazione predefinita. Per configurare i pod Autopilot per l'uso di Workload Identity, vai alla pagina Configurare le applicazioni per l'utilizzo di Workload Identity.

Crea un nuovo cluster

Puoi abilitare Workload Identity in un nuovo cluster Standard utilizzando gcloud CLI o Google Cloud Console.

gcloud

Per abilitare Workload Identity in un nuovo cluster, esegui il comando seguente:

gcloud container clusters create CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --workload-pool=PROJECT_ID.svc.id.goog

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.
  • COMPUTE_REGION: l'area geografica di Compute Engine del tuo cluster. Per i cluster di zona, utilizza --zone=COMPUTE_ZONE.
  • PROJECT_ID: il tuo ID progetto Google Cloud.

Console

Per abilitare Workload Identity in un nuovo cluster, segui questi passaggi:

  1. Vai alla pagina Google Kubernetes Engine in Google Cloud Console.

    Vai a Google Kubernetes Engine

  2. Nella finestra di dialogo Crea cluster, per GKE Standard, fai clic su Configura.
  3. Nel riquadro di navigazione, in Cluster, fai clic su Sicurezza.
  4. Seleziona la casella di controllo Abilita Workload Identity.
  5. Configura il cluster come preferisci.
  6. Fai clic su Crea.

Aggiorna un cluster esistente

Puoi abilitare Workload Identity in un cluster standard esistente utilizzando l'interfaccia a riga di comando gcloud o Google Cloud Console. I pool di nodi esistenti non sono interessati, ma i nuovi pool di nodi nel cluster utilizzano Workload Identity.

gcloud

Per abilitare Workload Identity in un cluster esistente, esegui questo comando:

gcloud container clusters update CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --workload-pool=PROJECT_ID.svc.id.goog

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del cluster esistente.
  • COMPUTE_REGION: l'area geografica di Compute Engine del tuo cluster. Per i cluster di zona, utilizza --zone=COMPUTE_ZONE.
  • PROJECT_ID: il tuo ID progetto Google Cloud.

Console

Per abilitare Workload Identity in un cluster esistente, segui questi passaggi:

  1. Vai alla pagina di Google Kubernetes Engine in Google Cloud Console.

    Vai a Google Kubernetes Engine

  2. Nell'elenco dei cluster nella pagina di Google Kubernetes Engine, fai clic sul nome del cluster da modificare.
  3. Nella scheda Dettagli, individua la sezione Sicurezza.
  4. Nel campo Workload Identity, fai clic su Modifica Workload Identity.
  5. Nella finestra di dialogo Modifica Workload Identity, seleziona la casella di controllo Abilita Workload Identity.
  6. Fai clic su Salva modifiche.

Eseguire la migrazione dei carichi di lavoro esistenti a Workload Identity

Dopo aver abilitato Workload Identity in un cluster esistente, potresti voler eseguire la migrazione dei carichi di lavoro in esecuzione per utilizzare Workload Identity. Seleziona la strategia di migrazione ideale per il tuo ambiente. Puoi creare nuovi pool di nodi con l'abilitazione di Workload Identity oppure aggiornare i pool di nodi esistenti per abilitare Workload Identity.

Ti consigliamo di creare nuovi pool di nodi se devi modificare anche le applicazioni per essere compatibili con Workload Identity.

Per tutti i nuovi pool di nodi che crei vengono utilizzati per impostazione predefinita, se Workload Identity è abilitato nel cluster. Per creare un nuovo pool di nodi con Workload Identity abilitato, esegui il comando seguente:

gcloud container node-pools create NODEPOOL_NAME \
    --cluster=CLUSTER_NAME \
    --workload-metadata=GKE_METADATA

Sostituisci quanto segue:

  • NODEPOOL_NAME: il nome del nuovo pool di nodi.
  • CLUSTER_NAME: il nome del cluster esistente per cui è abilitata Workload Identity.

Il flag --workload-metadata=GKE_METADATA configura il pool di nodi in modo che utilizzi il server di metadati GKE. Ti consigliamo di includere il flag in modo che la creazione del pool di nodi non vada a buon fine se Workload Identity non è abilitato sul cluster.

Aggiorna un pool di nodi esistente

Puoi abilitare manualmente Workload Identity nei pool di nodi esistenti dopo aver abilitato Workload Identity nel cluster.

gcloud

Per modificare un pool di nodi esistente per utilizzare Workload Identity, esegui questo comando:

gcloud container node-pools update NODEPOOL_NAME \
    --cluster=CLUSTER_NAME \
    --workload-metadata=GKE_METADATA

Se un cluster ha abilitato Workload Identity, puoi disattivarlo in modo selettivo in un pool di nodi specifico specificando esplicitamente --workload-metadata=GCE_METADATA. Per ulteriori informazioni, consulta la sezione Protezione dei metadati del cluster.

Console

Per modificare un pool di nodi esistente in modo da utilizzare Workload Identity, esegui i passaggi seguenti:

  1. Vai alla pagina di Google Kubernetes Engine in Google Cloud Console.

    Vai a Google Kubernetes Engine

  2. Nell'elenco dei cluster, fai clic sul nome del cluster da modificare.
  3. Fai clic sulla scheda Nodi.
  4. Nella sezione Pool di nodi, fai clic sul nome del pool di nodi che vuoi modificare.
  5. Nella pagina Dettagli del pool di nodi, fai clic su Modifica.
  6. Nella pagina Modifica pool di nodi, nella sezione Sicurezza, seleziona la casella di controllo Abilita server metadati GKE.
  7. Fai clic su Salva.

Configurare le applicazioni per l'utilizzo di Workload Identity

Dopo aver abilitato Workload Identity, devi configurare le tue applicazioni per l'autenticazione in Google Cloud utilizzando Workload Identity prima di eseguire la migrazione delle applicazioni nei nuovi pool di nodi.

Devi assegnare un account di servizio Kubernetes all'applicazione e configurarlo per agire come account di servizio IAM.

I seguenti passaggi mostrano come configurare le applicazioni per l'uso di Workload Identity se è abilitato sul cluster.

  1. Recupera le credenziali per il cluster:

    gcloud container clusters get-credentials CLUSTER_NAME
    

    Sostituisci CLUSTER_NAME con il nome del cluster in cui è abilitato Workload Identity.

  2. Creare uno spazio dei nomi da utilizzare per l'account di servizio Kubernetes. Puoi anche utilizzare lo spazio dei nomi predefinito o qualsiasi spazio dei nomi esistente.

    kubectl create namespace NAMESPACE
    
  3. Creare un account di servizio Kubernetes da utilizzare per l'applicazione. Puoi anche utilizzare l'account di servizio Kubernetes predefinito nello spazio dei nomi predefinito o in qualsiasi spazio dei nomi esistente.

    kubectl create serviceaccount KSA_NAME \
        --namespace NAMESPACE
    

    Sostituisci quanto segue:

    • KSA_NAME: il nome del nuovo account di servizio Kubernetes.
    • NAMESPACE: il nome dello spazio dei nomi Kubernetes per l'account di servizio.
  4. Crea un account di servizio IAM per la tua applicazione o utilizza un account di servizio IAM esistente. Puoi utilizzare qualsiasi account di servizio IAM in qualsiasi progetto della tua organizzazione. Per Config Connector, applica l'oggetto IAMServiceAccount per l'account di servizio selezionato.

    gcloud

    Per creare un nuovo account di servizio IAM utilizzando l'interfaccia a riga di comando gcloud, esegui il comando seguente.

    gcloud iam service-accounts create GSA_NAME \
        --project=GSA_PROJECT
    

    Sostituisci quanto segue:

    • GSA_NAME: il nome del nuovo account di servizio IAM.
    • GSA_PROJECT: l'ID del progetto Google Cloud per l'account di servizio IAM.

    Config Connector

    Per utilizzare un account di servizio IAM nuovo o esistente con Config Connector, applica il seguente file di configurazione.

    Nota: questo passaggio richiede Config Connector. Segui le istruzioni di installazione per installare Config Connector nel cluster.

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
    kind: IAMServiceAccount
    metadata:
      name: [GSA_NAME]
    spec:
      displayName: [DISPLAY_NAME]
    Per eseguire il deployment di questo manifest, scaricalo sul tuo computer come service-account.yaml.

    Utilizza kubectl per applicare il manifest:

    kubectl apply -f service-account.yaml
    

    Per informazioni sull'autorizzazione degli account di servizio IAM ad accedere alle API Google Cloud, consulta Informazioni sugli account di servizio.

  5. Assicurati che il tuo account di servizio IAM disponga dei ruoli necessari. Per concedere ruoli aggiuntivi, utilizza il comando seguente:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member "serviceAccount:GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com" \
        --role "ROLE_NAME"
    

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto Google Cloud.
    • GSA_NAME: il nome del tuo account di servizio IAM.
    • GSA_PROJECT: l'ID del progetto Google Cloud dell'account di servizio IAM.
    • ROLE_NAME: il ruolo IAM da assegnare al tuo account di servizio, ad esempio roles/spanner.viewer.
  6. Consenti all'account di servizio Kubernetes di impersonare l'account di servizio IAM aggiungendo un'associazione dei criteri IAM tra i due account di servizio. Questa associazione consente all'account di servizio Kubernetes di agire come account di servizio IAM.

    gcloud

    gcloud iam service-accounts add-iam-policy-binding GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"
    

    Config Connector

    Nota: questo passaggio richiede Config Connector. Segui le istruzioni di installazione per installare Config Connector nel cluster.

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
    kind: IAMPolicy
    metadata:
      name: iampolicy-workload-identity-sample
    spec:
      resourceRef:
        apiVersion: iam.cnrm.cloud.google.com/v1beta1
        kind: IAMServiceAccount
        name: [GSA_NAME]
      bindings:
        - role: roles/iam.workloadIdentityUser
          members:
            - serviceAccount:[PROJECT_ID].svc.id.goog[[K8S_NAMESPACE]/[KSA_NAME]]
    Per eseguire il deployment di questo manifest, scaricalo sul tuo computer come policy-binding.yaml. Sostituisci GSA_NAME, PROJECT_ID, NAMESPACE e KSA_NAME i valori per il tuo ambiente. Dopodiché, esegui:

    kubectl apply -f policy-binding.yaml
    
  7. Annota l'account di servizio Kubernetes con l'indirizzo email dell'account di servizio IAM.

    kubectl

    kubectl annotate serviceaccount KSA_NAME \
        --namespace NAMESPACE \
        iam.gke.io/gcp-service-account=GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com
    

    yaml

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      annotations:
        iam.gke.io/gcp-service-account: GSA_NAME@PROJECT_ID.iam.gserviceaccount.com
      name: KSA_NAME
      namespace: NAMESPACE
    
  8. Aggiorna le specifiche del pod per pianificare i carichi di lavoro sui nodi che utilizzano Workload Identity e per utilizzare l'account di servizio Kubernetes annotato.

    spec:
      serviceAccountName: KSA_NAME
      nodeSelector:
        iam.gke.io/gke-metadata-server-enabled: "true"
    
  9. Applica la configurazione aggiornata al cluster:

    kubectl apply -f DEPLOYMENT_FILE
    

    Sostituisci DEPLOYMENT_FILE con il percorso della specifica del pod aggiornata.

Verifica la configurazione di Workload Identity

Verifica che gli account di servizio siano configurati correttamente creando un pod con l'account di servizio Kubernetes che esegue l'immagine container specifica del sistema operativo, quindi connettilo con una sessione interattiva.

Linux

Crea un pod che utilizza l'account di servizio Kubernetes annotato e curl l'endpoint service-accounts.

  1. Salva la seguente configurazione come wi-test.yaml:

    apiVersion: v1
    kind: Pod
    metadata:
      name: workload-identity-test
      namespace: NAMESPACE
    spec:
      containers:
      - image: google/cloud-sdk:slim
        name: workload-identity-test
        command: ["sleep","infinity"]
      serviceAccountName: KSA_NAME
      nodeSelector:
        iam.gke.io/gke-metadata-server-enabled: "true"
    

    L'immagine google/cloud-sdk include Google Cloud CLI, che consente di utilizzare facilmente le API Google Cloud. Il download dell'immagine potrebbe richiedere del tempo.

  2. Crea il pod:

    kubectl apply -f wi-test.yaml
    
  3. Apri una sessione interattiva nel pod:

    kubectl exec -it workload-identity-test \
      --namespace NAMESPACE \
      -- /bin/bash
    
  4. Esegui questo comando all'interno del pod:

    curl -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/email
    

    Se gli account di servizio sono configurati correttamente, l'indirizzo email dell'account di servizio IAM è elencato come identità attiva (e unica). Per impostazione predefinita, il pod agisce da autorità dell'account di servizio IAM quando chiama le API Google Cloud.

Windows

Crea un pod con l'account di servizio Kubernetes che esegue l'immagine container di servercore.

  1. Salva il seguente manifest:

    apiVersion: v1
    kind: Pod
    metadata:
      name: workload-identity-test
      namespace: NAMESPACE
    spec:
      containers:
      - image: IMAGE_NAME
        name: workload-identity-test
        command: ["powershell.exe", "sleep", "3600"]
      serviceAccountName: KSA_NAME
      nodeSelector:
        kubernetes.io/os: windows
        cloud.google.com/gke-os-distribution: windows_ltsc
        iam.gke.io/gke-metadata-server-enabled: "true"
    

    Sostituisci IMAGE_NAME con uno dei seguenti valori immagine servercore del container:

    Immagine del nodo Windows Server Immagine container servercore
    WINDOWS_LTSC,
    WINDOWS_LTSC_CONTAINERD
    mcr.microsoft.com/windows/servercore:ltsc2019
    WINDOWS_SAC,
    WINDOWS_SAC_CONTAINERD

    Controlla la mappatura delle versioni tra la versione del nodo GKE e la versione SAC di Windows. Per Windows Server versione 1909, specifica mcr.microsoft.com/windows/servercore:1909; in caso contrario, specifica mcr.microsoft.com/windows/servercore:20H2.

  2. Apri una sessione interattiva nel pod:

    kubectl exec -it workload-identity-test \
      --namespace NAMESPACE -- powershell
    
  3. Esegui questo comando powershell all'interno del pod:

    Invoke-WebRequest  -Headers @{"Metadata-Flavor"="Google"} -Uri  http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/email  -UseBasicParsing
    

    Se gli account di servizio sono configurati correttamente, l'indirizzo email dell'account di servizio IAM è elencato come identità attiva (e unica). Per impostazione predefinita, il pod utilizza l'autorità dell'account di servizio IAM quando chiama le API Google Cloud.

Usa Workload Identity dal tuo codice

L'autenticazione dei servizi Google Cloud dal codice è la stessa dell'autenticazione mediante il server di metadati Compute Engine. Quando utilizzi Workload Identity, le tue richieste al server di metadati di istanza vengono instradate al server di metadati GKE. Il codice esistente che autentica tramite il server di metadati di istanza (come il codice che usa le librerie client di Google Cloud) dovrebbe funzionare senza modifiche.

Usa la quota di un altro progetto con Workload Identity

Sui cluster che eseguono GKE versione 1.24 o successive, puoi facoltativamente configurare il tuo account di servizio Kubernetes in modo che utilizzi la quota di un progetto Google Cloud diverso quando effettui chiamate alle API Google Cloud. In questo modo puoi evitare di utilizzare l'intera quota nel progetto principale e invece la quota di altri progetti per servizi diversi nel cluster.

Per configurare un progetto quota con Workload Identity, procedi come segue:

  1. Concedi l'autorizzazione serviceusage.services.use per il progetto di quota all'account di servizio Kubernetes.

    gcloud projects add-iam-policy-binding \
    --role=roles/serviceusage.serviceUsageConsumer \
    --member=serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME] \
    QUOTA_PROJECT_ID
    

    Sostituisci QUOTA_PROJECT_ID con l'ID progetto del progetto quota.

  2. Annota l'account di servizio Kubernetes con il progetto di quota:

    kubectl annotate serviceaccount KSA_NAME \
    --namespace NAMESPACE \
    iam.gke.io/credential-quota-project=QUOTA_PROJECT_ID
    

Per verificare che la configurazione funzioni correttamente, procedi come segue:

  1. Crea un pod e avvia una sessione di shell seguendo le istruzioni in Verificare la configurazione di Workload Identity.

  2. Invia una richiesta di token dell'account di servizio:

    curl -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token
    
  3. Vai alla pagina delle credenziali degli account di servizio IAM nella console Google Cloud per il progetto di quota:

    Vai alle API

  4. Verifica la presenza di variazioni nel traffico.

Esegui la pulizia

Per interrompere l'utilizzo di Workload Identity, revoca l'accesso all'account di servizio IAM e disabilita Workload Identity nel cluster.

Revoca l'accesso

  1. Revoca accesso all'account di servizio IAM:

    gcloud

    gcloud iam service-accounts remove-iam-policy-binding GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"
    

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto del cluster GKE.
    • NAMESPACE: il nome dello spazio dei nomi Kubernetes in cui si trova il tuo account di servizio Kubernetes.
    • KSA_NAME: nome dell'account di servizio Kubernetes a cui verrà revocato l'accesso.
    • GSA_NAME: il nome dell'account di servizio IAM.
    • GSA_PROJECT: l'ID progetto dell'account di servizio IAM.

    Config Connector

    Se hai utilizzato Config Connector per creare l'account di servizio, elimina l'account di servizio con kubectl.

    kubectl delete -f service-account.yaml
    

    Potrebbero trascorrere fino a 30 minuti prima che i token memorizzati nella cache scadano. Puoi controllare se i token memorizzati nella cache sono scaduti con questo comando:

    gcloud auth list
    

    I token memorizzati nella cache sono scaduti se l'output di quel comando non include più GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com.

  2. Rimuovi l'annotazione dall'account di servizio Kubernetes. Questo passaggio è facoltativo perché l'accesso è stato revocato da IAM.

    kubectl annotate serviceaccount KSA_NAME \
        --namespace NAMESPACE iam.gke.io/gcp-service-account-
    

Disattiva Workload Identity

Puoi disabilitare Workload Identity solo nei cluster GKE standard.

gcloud

  1. Disabilita Workload Identity su ogni pool di nodi:

    gcloud container node-pools update NODEPOOL_NAME \
        --cluster=CLUSTER_NAME \
        --workload-metadata=GCE_METADATA
    

    Ripeti questo comando per ogni pool di nodi nel cluster.

  2. Disabilita Workload Identity nel cluster:

    gcloud container clusters update CLUSTER_NAME \
        --disable-workload-identity
    

Console

  1. Vai alla pagina di Google Kubernetes Engine in Google Cloud Console.

    Vai a Google Kubernetes Engine

  2. Nell'elenco dei cluster nella pagina di Google Kubernetes Engine, fai clic sul nome del cluster da modificare.
  3. Fai clic sulla scheda Nodi.
  4. Per disabilitare Workload Identity per pool di nodi specifici, procedi nel modo seguente per ciascun pool di nodi:
    1. Nella sezione Pool di nodi, fai clic sul nome del pool di nodi che vuoi modificare.
    2. Nella pagina Dettagli del pool di nodi, fai clic su Modifica.
    3. Nella pagina Modifica pool di nodi, nella sezione Sicurezza, deseleziona la casella di controllo Abilita server metadati GKE.
    4. Fai clic su Salva.
  5. Per disabilitare Workload Identity per il cluster, segui questi passaggi:
    1. Fai clic sulla scheda Dettagli.
    2. Nella sezione Sicurezza, accanto a Workload Identity, fai clic su Modifica.
    3. Nella finestra di dialogo Modifica Workload Identity, deseleziona la casella di controllo Abilita Workload Identity.
  6. Fai clic su Salva modifiche.

Disattiva Workload Identity nella tua organizzazione

Dal punto di vista della sicurezza, Workload Identity consente a GKE di rivendicare le identità degli account di servizio Kubernetes che possono essere autenticate e autorizzate alle risorse di Google Cloud. Se sei un amministratore che ha eseguito azioni per isolare i carichi di lavoro dalle risorse di Google Cloud, come la disattivazione della creazione di account di servizio o la disabilitazione della creazione di chiavi dell'account di servizio, potrebbe essere utile disabilitare anche Workload Identity per la tua organizzazione.

Consulta queste istruzioni per disabilitare Workload Identity per la tua organizzazione.

Risolvere i problemi

Per informazioni sulla risoluzione dei problemi, consulta Risoluzione dei problemi relativi a Workload Identity.

Passaggi successivi