Usar identidade da carga de trabalho

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Neste documento, mostramos como ativar e configurar a Identidade da carga de trabalho nos clusters do Google Kubernetes Engine (GKE). A Identidade da carga de trabalho permite que as cargas de trabalho nos clusters do GKE representem contas de serviço de gerenciamento de identidade e acesso (IAM) para acessar serviços do Google Cloud. Para saber mais sobre como a Identidade da carga de trabalho funciona, consulte Identidade da carga de trabalho.

Limitações

  • O GKE cria um pool de identidades de carga de trabalho fixo para cada projeto do Google Cloud, com o formato PROJECT_ID.svc.id.goog.

  • A Identidade de carga de trabalho substitui a necessidade de usar Ocultação de metadados. Os metadados confidenciais protegidos pela ocultação de metadados também são protegidos pela Identidade da carga de trabalho.

  • Quando o GKE ativa o servidor de metadados do GKE em um pool de nós, os pods não podem mais acessar o servidor de metadados do Compute Engine. Em vez disso, o servidor de metadados do GKE intercepta solicitações feitas desses pods para endpoints de metadados, com exceção dos pods em execução na rede do host.

  • A Identidade da carga de trabalho não pode ser usada por pods em execução na rede do host. As solicitações feitas desses pods para endpoints de metadados são encaminhadas para o servidor de metadados do Compute Engine.

  • O servidor de metadados do GKE leva alguns segundos para começar a aceitar solicitações em um pod recém-criado. Portanto, as tentativas de autenticação usando a Identidade da carga de trabalho nos primeiros segundos da vida de um pod podem falhar. Tentar novamente a chamada resolverá o problema. Consulte Solução de problemas para mais detalhes.

  • Os agentes integrados de geração de registros e monitoramento do GKE continuarão a usar a conta de serviço do nó.

  • A Identidade da carga de trabalho requer a configuração manual para que o Cloud Run para Anthos continue lançando métricas de solicitação.

  • A Identidade da carga de trabalho instalará ip-masq-agent se o cluster for criado sem a sinalização --disable-default-snat.

  • A Identidade da carga de trabalho define um limite de 200 conexões com o servidor de metadados do GKE para cada nó, a fim de evitar problemas de memória. Expirações de tempo limite podem acontecer se os nós excederem esse limite.

  • A Identidade da carga de trabalho para nós do Windows Server está disponível nas versões do GKE 1.18.16-gke.1200, 1.19.8-gke.1300, 1.20.4-gke.1500 e posteriores.

  • O servidor de metadados do GKE usa recursos de memória proporcionalmente ao número total de contas de serviço do Kubernetes no seu cluster. Se o cluster tiver mais de 3.000 contas de serviço do Kubernetes, o kubelet poderá encerrar os pods do servidor de metadados. Para mitigações, consulte Solução de problemas.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

  • Ativar a API Google Kubernetes Engine.
  • Ativar a API Google Kubernetes Engine
  • Se você quiser usar a Google Cloud CLI para essa tarefa, instale e, em seguida, inicialize a CLI gcloud.

Ativar a Identidade da carga de trabalho

É possível ativar a identidade da carga de trabalho em clusters e pools de nós usando a Google Cloud CLI ou o Console do Google Cloud. A Identidade da carga de trabalho precisa estar ativada no nível do cluster para que seja possível ativá-la em pools de nós.

Os clusters do Autopilot ativam a Identidade da carga de trabalho por padrão. Para configurar os pods do Autopilot para usar a Identidade da carga de trabalho, pule para Configurar aplicativos para usar a Identidade da carga de trabalho.

Criar um novo cluster

É possível ativar a Identidade da carga de trabalho em um novo cluster Standard usando a CLI gcloud ou o Console do Google Cloud.

gcloud

Para ativar a Identidade da carga de trabalho em um novo cluster, execute o seguinte comando:

gcloud container clusters create CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --workload-pool=PROJECT_ID.svc.id.goog

Substitua:

  • CLUSTER_NAME: o nome do novo cluster;
  • COMPUTE_REGION: a região do Compute Engine do cluster. Para clusters zonais, use --zone=COMPUTE_ZONE.
  • PROJECT_ID: é seu ID do projeto no Google Cloud.

Console

Para ativar a identidade da carga de trabalho em um novo cluster, faça o seguinte:

  1. Acesse a página Google Kubernetes Engine no console do Google Cloud.

    Acessar o Google Kubernetes Engine
    As etapas restantes serão exibidas automaticamente no console do Google Cloud.

  2. Na caixa de diálogo Criar cluster do GKE Standard, clique em Configurar.
  3. No painel de navegação, em Cluster, clique em Segurança.
  4. Marque a caixa de seleção Ativar identidade de carga de trabalho.
  5. Configure o cluster como quiser.
  6. Clique em Criar.

Atualizar um cluster atual

É possível ativar a Identidade da carga de trabalho em um cluster Standard usando a CLI gcloud ou o Console do Google Cloud. Pools de nós existentes não são afetados, mas todos os pools de nós novos no cluster usam a Identidade da carga de trabalho.

gcloud

Para ativar a Identidade da carga de trabalho em um cluster existente, execute o seguinte comando:

gcloud container clusters update CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --workload-pool=PROJECT_ID.svc.id.goog

Substitua:

  • CLUSTER_NAME: o nome do cluster atual.
  • COMPUTE_REGION: a região do Compute Engine do cluster. Para clusters zonais, use --zone=COMPUTE_ZONE.
  • PROJECT_ID: é seu ID do projeto no Google Cloud.

Console

Para ativar a Identidade da carga de trabalho em um cluster, faça o seguinte:

  1. Acesse a página do Google Kubernetes Engine no console do Google Cloud:

    Acessar o Google Kubernetes Engine
    As etapas restantes serão exibidas automaticamente no Console do Google Cloud.

  2. Na lista de clusters da página do Google Kubernetes Engine, clique sobre o nome do cluster que você quer modificar.
  3. Na guia Detalhes, localize a seção Segurança.
  4. Para o campo Identidade da carga de trabalho, clique em Editar a identidade da carga de trabalho.
  5. Na caixa de diálogo Editar a identidade da carga de trabalho, marque a caixa de seleção Ativar a Identidade da carga de trabalho.
  6. Clique em Salvar alterações.

Migrar cargas de trabalho para a Identidade da carga de trabalho

Depois de ativar a Identidade da carga de trabalho em um cluster existente, convém migrar as cargas de trabalho em execução para usar a Identidade da carga de trabalho. Selecione a estratégia de migração ideal para seu ambiente. É possível criar novos pools de nós com a Identidade da carga de trabalho ativada ou atualizar os pools de nós existentes para ativar a Identidade da carga de trabalho.

Recomendamos a criação de novos pools de nós se você também precisar modificar os aplicativos para que sejam compatíveis com a Identidade da carga de trabalho.

Todos os pools de nós novos criados assumem como padrão usar a Identidade da carga de trabalho caso o cluster tenha esse recurso ativado. Para criar um novo pool de nós com a Identidade da carga de trabalho ativada, execute o seguinte comando:

gcloud container node-pools create NODEPOOL_NAME \
    --cluster=CLUSTER_NAME \
    --workload-metadata=GKE_METADATA

Substitua:

  • NODEPOOL_NAME: o nome do novo pool de nós.
  • CLUSTER_NAME: o nome do cluster atual que tem a Identidade da carga de trabalho ativada.

A sinalização --workload-metadata=GKE_METADATA configura o pool de nós para usar o servidor de metadados do GKE. Recomendamos incluir a sinalização para que a criação do pool de nós falhe caso a Identidade da carga de trabalho não esteja ativada no cluster.

Atualizar um pool de nós

É possível ativar manualmente a Identidade da carga de trabalho em pools de nós existentes depois de ativá-la no cluster.

gcloud

Para modificar um pool de nós para usar a Identidade da carga de trabalho, execute o seguinte comando:

gcloud container node-pools update NODEPOOL_NAME \
    --cluster=CLUSTER_NAME \
    --workload-metadata=GKE_METADATA

Se um cluster tiver a identidade de carga de trabalho ativada, será possível desativá-la seletivamente em um pool de nós especificando explicitamente --workload-metadata=GCE_METADATA. Consulte Como proteger os metadados do cluster para mais informações.

Console

Para modificar um pool de nós para usar a Identidade da carga de trabalho, execute as seguintes etapas:

  1. Acesse a página do Google Kubernetes Engine no console do Google Cloud:

    Acessar o Google Kubernetes Engine
    As etapas restantes serão exibidas automaticamente no Console do Google Cloud.

  2. Na lista de clusters, clique no nome do cluster que você quer modificar.
  3. Clique na guia Nós.
  4. Na seção Pools de nós, clique no nome do pool de nós que você quer modificar.
  5. Na página Detalhes do pool de nós, clique em Editar.
  6. Na página Editar pool de nós, na seção Segurança, marque a caixa de seleção Ativar o servidor de metadados do GKE.
  7. Clique em Save.

Configurar aplicativos para usar a Identidade da carga de trabalho

Depois de ativar a Identidade da carga de trabalho, configure os aplicativos para autenticar no Google Cloud usando a Identidade da carga de trabalho antes de migrar os aplicativos para os novos pools de nós.

Atribua uma conta de serviço do Kubernetes ao aplicativo e configure-a para atuar como uma conta de serviço do IAM.

As etapas a seguir mostram como configurar seus aplicativos para usar a Identidade da carga de trabalho, se ela estiver ativada no cluster.

  1. Receba as credenciais do cluster:

    gcloud container clusters get-credentials CLUSTER_NAME
    

    Substitua CLUSTER_NAME pelo nome do cluster que tem a Identidade da carga de trabalho ativada.

  2. Crie o namespace que será usado para a conta de serviço do Kubernetes. Também é possível usar o namespace padrão ou qualquer namespace existente.

    kubectl create namespace NAMESPACE
    
  3. Crie uma conta de serviço do Google para o aplicativo usar: Também é possível usar a conta de serviço padrão do Kubernetes no namespace padrão ou em qualquer outro existente.

    kubectl create serviceaccount KSA_NAME \
        --namespace NAMESPACE
    

    Substitua:

    • KSA_NAME: o nome da nova conta de serviço do Kubernetes.
    • NAMESPACE, o nome do namespace do Kubernetes da conta de serviço.
  4. Crie uma conta de serviço do IAM para seu aplicativo ou use uma conta de serviço do IAM atual. É possível usar qualquer conta de serviço do Google em qualquer projeto na organização. Para o Config Connector, aplique o objeto IAMServiceAccount à conta de serviço escolhida.

    gcloud

    Para criar uma nova conta de serviço de IAM usando a CLI gcloud, execute o comando a seguir.

    gcloud iam service-accounts create GSA_NAME \
        --project=GSA_PROJECT
    

    Substitua:

    • GSA_NAME: o nome da nova conta de serviço do IAM.
    • GSA_PROJECT, o ID do projeto do Google Cloud da conta de serviço do IAM.

    Config Connector

    Para usar uma conta de serviço do Google nova ou existente com o Config Connector, aplique o arquivo de configuração a seguir.

    Observação: esta etapa requer o Config Connector. Siga estas instruções para instalar o Config Connector no cluster.

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
    kind: IAMServiceAccount
    metadata:
      name: [GSA_NAME]
    spec:
      displayName: [DISPLAY_NAME]
    Para implantar esse manifesto, faça o download dele para sua máquina como service-account.yaml.

    Use kubectl para aplicar o manifesto:

    kubectl apply -f service-account.yaml
    

    Para ver informações sobre como autorizar contas de serviço do Google a acessar as APIs do Google Cloud, consulte Como entender as contas de serviço.

  5. Verifique se a conta de serviço do IAM tem os papéis necessários. É possível conceder outros papéis usando o seguinte comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member "serviceAccount:GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com" \
        --role "ROLE_NAME"
    

    Substitua:

    • PROJECT_ID: é seu ID do projeto no Google Cloud.
    • GSA_NAME: o nome da conta de serviço do IAM.
    • GSA_PROJECT, o ID do projeto do Google Cloud da conta de serviço do IAM.
    • ROLE_NAME: o papel do IAM a ser atribuído à conta de serviço, como roles/spanner.viewer.
  6. Permita que a conta de serviço do Kubernetes atue como a conta de serviço do IAM. Para isso, adicione uma vinculação de política do IAM entre as duas contas de serviço. Essa vinculação permite que a conta de serviço do Kubernetes atue como a conta de serviço do Google.

    gcloud

    gcloud iam service-accounts add-iam-policy-binding GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"
    

    Config Connector

    Observação: esta etapa requer o Config Connector. Siga estas instruções para instalar o Config Connector no cluster.

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
    kind: IAMPolicy
    metadata:
      name: iampolicy-workload-identity-sample
    spec:
      resourceRef:
        apiVersion: iam.cnrm.cloud.google.com/v1beta1
        kind: IAMServiceAccount
        name: [GSA_NAME]
      bindings:
        - role: roles/iam.workloadIdentityUser
          members:
            - serviceAccount:[PROJECT_ID].svc.id.goog[[K8S_NAMESPACE]/[KSA_NAME]]
    Para implantar esse manifesto, faça o download dele para sua máquina como policy-binding.yaml. Substitua GSA_NAME, PROJECT_ID NAMESPACE e KSA_NAME pelos valores correspondentes do seu ambiente. Depois, execute:

    kubectl apply -f policy-binding.yaml
    
  7. Anote a conta de serviço do Kubernetes com o endereço de e-mail da conta de serviço do IAM.

    kubectl

    kubectl annotate serviceaccount KSA_NAME \
        --namespace NAMESPACE \
        iam.gke.io/gcp-service-account=GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com
    

    yaml

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      annotations:
        iam.gke.io/gcp-service-account: GSA_NAME@PROJECT_ID.iam.gserviceaccount.com
      name: KSA_NAME
      namespace: NAMESPACE
    
  8. Atualize a especificação do pod para programar as cargas de trabalho em nós que usam a Identidade da carga de trabalho e usar a conta de serviço do Kubernetes com anotação.

    spec:
      serviceAccountName: KSA_NAME
      nodeSelector:
        iam.gke.io/gke-metadata-server-enabled: "true"
    
  9. Aplique a configuração atualizada ao cluster:

    kubectl apply -f DEPLOYMENT_FILE
    

    Substitua DEPLOYMENT_FILE pelo caminho para a especificação de pod atualizada.

Verificar a configuração da Identidade da carga de trabalho

Verifique se as contas de serviço estão configuradas corretamente. Para isso, crie um pod com a conta de serviço do Kubernetes que executa a imagem do contêiner específico do SO e conecte-se a ele com uma sessão interativa.

Linux

Crie um pod que use a conta de serviço do Kubernetes anotada, e curl o endpoint service-accounts.

  1. Salve a configuração a seguir como wi-test.yaml:

    apiVersion: v1
    kind: Pod
    metadata:
      name: workload-identity-test
      namespace: NAMESPACE
    spec:
      containers:
      - image: google/cloud-sdk:slim
        name: workload-identity-test
        command: ["sleep","infinity"]
      serviceAccountName: KSA_NAME
      nodeSelector:
        iam.gke.io/gke-metadata-server-enabled: "true"
    

    A imagem google/cloud-sdk inclui a Google Cloud CLI, que é uma maneira conveniente de consumir as APIs Google Cloud. Pode levar algum tempo para fazer o download da imagem.

  2. Crie o pod:

    kubectl apply -f wi-test.yaml
    
  3. Abra uma sessão interativa no pod:

    kubectl exec -it workload-identity-test \
      --namespace NAMESPACE \
      -- /bin/bash
    
  4. Execute o seguinte comando no pod:

    curl -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/email
    

    Se as contas de serviço estiverem configuradas corretamente, o endereço de e-mail da conta de serviço do Google será listado como a identidade ativa (e única). Isso demonstra que, por padrão, o pod atua como a autoridade da conta de serviço do IAM ao chamar as APIs do Google Cloud.

Windows

Crie um pod com a conta de serviço do Kubernetes que executa a imagem do contêiner servercore:

  1. Salve o seguinte manifesto:

    apiVersion: v1
    kind: Pod
    metadata:
      name: workload-identity-test
      namespace: NAMESPACE
    spec:
      containers:
      - image: IMAGE_NAME
        name: workload-identity-test
        command: ["powershell.exe", "sleep", "3600"]
      serviceAccountName: KSA_NAME
      nodeSelector:
        kubernetes.io/os: windows
        cloud.google.com/gke-os-distribution: windows_ltsc
        iam.gke.io/gke-metadata-server-enabled: "true"
    

    Substitua IMAGE_NAME por um dos seguintes valores de imagem do núcleo do servidor de contêiner:

    Imagem do nó do Windows Server Imagem de contêiner servercore
    WINDOWS_LTSC,
    WINDOWS_LTSC_CONTAINERD
    mcr.microsoft.com/windows/servercore:ltsc2019
    WINDOWS_SAC,
    WINDOWS_SAC_CONTAINERD

    Verifique o mapeamento de versões entre a versão do nó do GKE e a versão do Windows SAC. Para o Windows Server versão 1909, especifique mcr.microsoft.com/windows/servercore:1909. Caso contrário, especifique mcr.microsoft.com/windows/servercore:20H2.

  2. Abra uma sessão interativa no pod:

    kubectl exec -it workload-identity-test \
      --namespace NAMESPACE -- powershell
    
  3. Execute o seguinte comando powershell no pod:

    Invoke-WebRequest  -Headers @{"Metadata-Flavor"="Google"} -Uri  http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/email  -UseBasicParsing
    

    Se as contas de serviço estiverem configuradas corretamente, o endereço de e-mail da conta de serviço do Google será listado como a identidade ativa (e única). Isso demonstra que, por padrão, o pod usa a autoridade da conta de serviço do Google ao chamar APIs Google Cloud.

Usar a Identidade da carga de trabalho do código

A autenticação nos serviços do Google Cloud usando o código segue o mesmo processo que a autenticação usando o servidor de metadados do Compute Engine. Quando você usa a Identidade da carga de trabalho, suas solicitações para o servidor de metadados da instância são encaminhadas para o servidor de metadados do GKE. O código atual que autentica usando o servidor de metadados da instância (como o código que usa as bibliotecas de cliente do Google Cloud) funcionará sem precisar de modificações.

Usar a cota de outro projeto com a Identidade da carga de trabalho

Em clusters que executam o GKE versão 1.24 ou posterior, é possível configurar sua conta de serviço do Kubernetes para usar a cota de um projeto diferente do Google Cloud ao fazer chamadas para as APIs do Google Cloud. Isso permite evitar o uso de toda a cota no projeto principal e, em vez disso, usar cota de outros projetos para serviços diferentes no cluster.

Para configurar um projeto de cota com a Identidade da carga de trabalho, faça o seguinte:

  1. Conceda a permissão serviceusage.services.use no projeto de cota à conta de serviço do Kubernetes.

    gcloud projects add-iam-policy-binding \
    --role=roles/serviceusage.serviceUsageConsumer \
    --member=serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME] \
    QUOTA_PROJECT_ID
    

    Substitua QUOTA_PROJECT_ID pelo ID do projeto da cota.

  2. Anote a conta de serviço do Kubernetes com o projeto de cota:

    kubectl annotate serviceaccount KSA_NAME \
    --namespace NAMESPACE \
    iam.gke.io/credential-quota-project=QUOTA_PROJECT_ID
    

Para verificar se a configuração funciona corretamente, faça o seguinte:

  1. Crie um pod e inicie uma sessão de shell seguindo as instruções em Verificar a configuração da Identidade da carga de trabalho.

  2. Faça uma solicitação de token da conta de serviço:

    curl -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token
    
  3. Acesse a página API IAM Service Accounts Credentials no console do Google Cloud do seu projeto de cota:

    Acesse APIs

  4. Verifique se há alterações no tráfego.

Limpar

Para interromper o uso da Identidade da carga de trabalho, revogue o acesso à conta de serviço do IAM e desative a Identidade da carga de trabalho no cluster.

Revogar acesso

  1. Revogue o acesso à conta de serviço do IAM:

    gcloud

    gcloud iam service-accounts remove-iam-policy-binding GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"
    

    Substitua:

    • PROJECT_ID, o ID do projeto do cluster do GKE;
    • NAMESPACE, o nome do namespace do Kubernetes em que a conta de serviço do Kubernetes está localizada;
    • KSA_NAME, o nome da conta de serviço do Kubernetes que terá o acesso revogado;
    • GSA_NAME: o nome da conta de serviço do IAM.
    • GSA_PROJECT, o ID do projeto da conta de serviço do IAM.

    Config Connector

    Se você usou o Config Connector para criar a conta de serviço, exclua-a com kubectl.

    kubectl delete -f service-account.yaml
    

    Pode levar até 30 minutos para que os tokens em cache expirem. É possível verificar se os tokens em cache já expiraram com este comando:

    gcloud auth list
    

    Os tokens em cache expiram se a saída desse comando não incluir mais GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com.

  2. Remova a anotação da conta de serviço do Kubernetes. Esta etapa é opcional porque o acesso foi revogado pelo IAM.

    kubectl annotate serviceaccount KSA_NAME \
        --namespace NAMESPACE iam.gke.io/gcp-service-account-
    

Desativar a Identidade da carga de trabalho

Só é possível desativar a Identidade da carga de trabalho nos clusters do GKE Standard.

gcloud

  1. Desative a Identidade da carga de trabalho em cada pool de nós:

    gcloud container node-pools update NODEPOOL_NAME \
        --cluster=CLUSTER_NAME \
        --workload-metadata=GCE_METADATA
    

    Repita esse comando em cada pool de nós no cluster.

  2. Desative a identidade de carga de trabalho no cluster:

    gcloud container clusters update CLUSTER_NAME \
        --disable-workload-identity
    

Console

  1. Acesse a página do Google Kubernetes Engine no console do Google Cloud:

    Acessar o Google Kubernetes Engine
    As etapas restantes serão exibidas automaticamente no Console do Google Cloud.

  2. Na lista de clusters da página do Google Kubernetes Engine, clique sobre o nome do cluster que você quer modificar.
  3. Clique na guia Nós.
  4. Para desativar a Identidade da carga de trabalho para pools de nós específicos, faça o seguinte para cada pool de nós:
    1. Na seção Pools de nós, clique no nome do pool de nós que você quer modificar.
    2. Na página Detalhes do pool de nós, clique em Editar.
    3. Na página Editar pool de nós, na seção Segurança, desmarque a caixa de seleção Ativar servidor de metadados do GKE.
    4. Clique em Save.
  5. Para desativar a Identidade da carga de trabalho para o cluster, faça o seguinte:
    1. Clique na guia Detalhes.
    2. Na seção Segurança, ao lado de Identidade da carga de trabalho, clique em Editar.
    3. Na caixa de diálogo Editar a identidade da carga de trabalho, desmarque a caixa de seleção Ativar a Identidade da carga de trabalho.
  6. Clique em Salvar alterações.

Desativar a Identidade da carga de trabalho na organização

Do ponto de vista da segurança, a Identidade da carga de trabalho permite que o GKE declare identidades das contas de serviço do Kubernetes que podem ser autenticadas e autorizadas nos recursos do Google Cloud. Se você é um administrador que realizou ações para isolar cargas de trabalho de recursos do Google Cloud, como desativar a criação de contas de serviço ou desativar a criação de chave da conta de serviço, talvez também queira desativar a Identidade da carga de trabalho para sua organização.

Consulte estas instruções para desativar a Identidade da carga de trabalho na sua organização.

Solução de problemas

Para solucionar problemas, consulte Solução de problemas de identidade da carga de trabalho.

A seguir