Utilizzo di Workload Identity con Google Cloud

Questa guida descrive come configurare l'identità del workload su GKE su AWS per controllare l'accesso del workload alle risorse Google Cloud. Include un esempio di come accedere alle risorse Google Cloud dal cluster utilizzando l'identità.

Per informazioni sull'utilizzo delle identità dei workload con gli account AWS IAM per controllare l'accesso alle risorse AWS, consulta Utilizzo di Workload Identity con AWS.

Panoramica

Workload Identity utilizza le autorizzazioni IAM per controllare l'accesso alle risorseGoogle Cloud . Google Cloud Con l'identità del carico di lavoro, puoi assegnare ruoli IAM diversi a ogni carico di lavoro. Questo controllo granulare delle autorizzazioni ti consente di seguire il principio del privilegio minimo. Senza Workload Identity, devi assegnare Google Cloud ruoli IAM ai tuoi nodi GKE su AWS, concedendo a tutti i workload su questi nodi le stesse autorizzazioni del nodo stesso.

Prerequisiti

  • Crea un cluster utente con Kubernetes versione 1.20 o successive.

  • Se il tuo AWS VPC utilizza un proxy o un firewall, inserisci nella lista consentita i seguenti URL:

    • securetoken.googleapis.com
    • iamcredentials.googleapis.com
    • sts.googleapis.com
  • Dalla directory anthos-aws, utilizza anthos-gke per passare al contesto del cluster utente.

    cd anthos-aws
    env HTTPS_PROXY=http://localhost:8118 \
      anthos-gke aws clusters get-credentials CLUSTER_NAME
    Sostituisci CLUSTER_NAME con il nome del cluster utente.

  • Attiva i quattro nuovi servizi richiesti per questa funzionalità con i seguenti comandi:

    gcloud services enable securetoken.googleapis.com
    gcloud services enable iam.googleapis.com
    gcloud services enable iamcredentials.googleapis.com
    gcloud services enable sts.googleapis.com
    

Comporre i nomi del provider e del pool di identità del workload

Ogni progetto Google Cloud crea automaticamente un pool di identità dei carichi di lavoro gestiti con un nome nel formato PROJECT_ID.svc.id.goog. Analogamente, Google Cloud crea un provider di identità il cui nome segue il pattern https://gkehub.googleapis.com/projects/PROJECT_ID/locations/global/memberships/MEMBERSHIP_ID. Per saperne di più sui pool di identità del workload, consulta Componenti abilitati per Fleet. Componi questi nomi a partire dall'ID progetto e dall'ID abbonamento, come mostrato qui:

export PROJECT_ID=USER_PROJECT_NAME
export CLUSTER_MEMBERSHIP_ID=PROJECT_MEMBERSHIP_NAME
export IDP="https://gkehub.googleapis.com/projects/${PROJECT_ID}/locations/global/memberships/${CLUSTER_MEMBERSHIP_ID}"
export WI_POOL="${PROJECT_ID}.svc.id.goog"

Sostituisci quanto segue:

  • USER_PROJECT_NAME con il nome del progetto utente scelto dall'utente
  • PROJECT_MEMBERSHIP_NAME con il nome dell'appartenenza al cluster

Crea un'associazione di policy IAM

Crea un'associazione di criteri per consentire a un account di servizio Kubernetes (KSA) di assumere l'identità di un service account (GSA). Google Cloud

export K8S_NAMESPACE=KUBERNETES_NAMESPACE
export KSA_NAME=KUBERNETES_SA_NAME
export GCP_SA_EMAIL="WORKLOAD_IDENTITY_TEST@${PROJECT_ID}.iam.gserviceaccount.com"
gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$WI_POOL[$K8S_NAMESPACE/$KSA_NAME]" $GCP_SA_EMAIL

Sostituisci quanto segue:

  • KUBERNETES_NAMESPACE con lo spazio dei nomi Kubernetes in cui è definito il account di servizio Kubernetes
  • WORKLOAD_IDENTITY_TEST con un nome del workload a tua scelta
  • KUBERNETES_SA_NAME con il nome del service account Kubernetes collegato all'applicazione

Crea una mappa di configurazione dell'SDK

Esegui lo script shell riportato di seguito per archiviare i dettagli dell'identità del workload in un ConfigMap. Quando un pod monta ConfigMap, Google Cloud CLI può leggere i dettagli dell'identità del workload.

cat << EOF > cfmap.yaml
kind: ConfigMap
apiVersion: v1
metadata:
  namespace: ${K8S_NAMESPACE}
  name: my-cloudsdk-config
data:
  config: |
    {
      "type": "external_account",
      "audience": "identitynamespace:${WI_POOL}:${IDP}",
      "service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/${GCP_SA_EMAIL}:generateAccessToken",
      "subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
      "token_url": "https://sts.googleapis.com/v1/token",
      "credential_source": {
        "file": "/var/run/secrets/tokens/gcp-ksa/token"
      }
    }
EOF

env HTTPS_PROXY=http://localhost:8118 \
  kubectl apply -f cfmap.yaml

Crea un account di servizio Kubernetes

Crea un KSA nel cluster utente con lo stesso nome e spazio dei nomi utilizzati nel binding IAM.

cat << EOF > k8s-service-account.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: ${KSA_NAME}
  namespace: ${K8S_NAMESPACE}
EOF

env HTTPS_PROXY=http://localhost:8118 \
  kubectl apply -f k8s-service-account.yaml

Creare un pod

Successivamente, crea un pod con la proiezione del token del account di servizio e ConfigMap creato in precedenza.

  1. Crea il file YAML del pod di esempio.

    cat << EOF > sample-pod.yaml
    apiVersion: v1
    kind: Pod
    metadata:
      name: sample-pod
      namespace: ${K8S_NAMESPACE}
    spec:
      serviceAccountName: ${KSA_NAME}
      containers:
      - command:
        - /bin/bash
        - -c
        - while :; do echo '.'; sleep 500 ; done
        image: google/cloud-sdk
        name: cloud-sdk
        env:
          - name: GOOGLE_APPLICATION_CREDENTIALS
            value: /var/run/secrets/tokens/gcp-ksa/google-application-credentials.json
        volumeMounts:
        - name: gcp-ksa
          mountPath: /var/run/secrets/tokens/gcp-ksa
          readOnly: true
      volumes:
      - name: gcp-ksa
        projected:
          defaultMode: 420
          sources:
          - serviceAccountToken:
              path: token
              audience: ${WI_POOL}
              expirationSeconds: 172800
          - configMap:
              name: my-cloudsdk-config
              optional: false
              items:
               - key: "config"
                 path: "google-application-credentials.json"
    EOF
    
  2. Applica il codice YAML del pod al tuo cluster.

    env HTTPS_PROXY=http://localhost:8118 \
     kubectl apply -f sample-pod.yaml
    

Utilizzo di Google Cloud Workload Identity

Versioni SDK supportate

Per utilizzare la funzionalità Google Cloud workload identity, devi creare il tuo codice con un SDK che la supporti. Per un elenco delle versioni dell'SDK che supportano Google Cloud Workload Identity, consulta Workload Identity del parco risorse.

Codice di esempio che utilizza Workload Identity

Questa sezione include un codice Python di esempio che utilizza l'identità del workload. Google Cloud Il account di servizio in questo esempio utilizza un'identità con privilegi "Amministratore Cloud Storage" per elencare tutti i bucket Cloud Storage del progetto Google Cloud .

  1. Esegui una shell all'interno del pod.

    env HTTPS_PROXY=http://localhost:8118 \
    kubectl exec -it sample-pod -- bash
    
  2. Esegui uno script per elencare i bucket di archiviazione del progetto.

    # execute these commands inside the Pod
    pip install --upgrade google-cloud-storage
    
    cat << EOF > sample-list-bucket.py
    from google.cloud import storage
    storage_client = storage.Client()
    buckets = storage_client.list_buckets()
    
    for bucket in buckets:
      print(bucket.name)
    EOF
    
    env GOOGLE_CLOUD_PROJECT=USER_PROJECT_NAME \
     python3 sample-list-bucket.py
    

    Sostituisci USER_PROJECT_NAME con il tuo progetto Google Cloud .

Per ulteriori informazioni