Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Descripción general de la identidad de la carga de trabajo
La identidad de la carga de trabajo le permite asignar identidades y autorizaciones específicas y específicas para cada aplicación del clúster. Es la forma recomendada para que las aplicaciones que se ejecutan en GKE en Azure accedan a Azure y... Google Cloud servicios.
Todos los clústeres de GKE tienen habilitada la identidad de carga de trabajo.
Cuentas de servicio de Kubernetes
La identidad de la carga de trabajo implementa la federación de identidades , es decir, la delegación de confianza o roles a un proveedor externo. Cada clúster cuenta con un proveedor de OpenID Connect (OIDC) integrado. Cuando un pod se ejecuta en el clúster, lo hace con una cuenta de servicio de Kubernetes . El pod se puede configurar para obtener un token con credenciales de corta duración para su cuenta de servicio de Kubernetes mediante un volumen de token de cuenta de servicio enlazado .
Proveedores de OpenID Connect
Cada clúster puede actuar como proveedor de OpenID Connect (OIDC) . Con este proveedor, puede proporcionar credenciales de cuentas de servicio de Kubernetes a servicios que admiten la federación de identidades mediante OIDC.
El URI del emisor de este proveedor también funciona como punto de acceso de detección de OIDC. Los servicios pueden usar este punto de acceso de detección para obtener el conjunto de claves web JSON (JWKS), que proporciona información de clave pública que les permite verificar las credenciales de la cuenta de servicio de Kubernetes.
Google Cloud Proveedores y grupos de identidades de IAM
Google Cloud IAM admite la federación de identidades mediante OIDC . Todos los clústeres de GKE están configurados como proveedores de identidad en el grupo de identidades de la carga de trabajo PROJECT_ID .svc.id.goog .
Alternativas a la identidad de la carga de trabajo
Existen métodos alternativos para acceder a los servicios de GKE en Azure. No recomendamos los siguientes métodos debido a complicaciones.
Exporte las credenciales y almacénelas como secretos de Kubernetes. En este caso, debe rotar manualmente las credenciales almacenadas tanto en Azure IAM como en el clúster. Además, si un atacante roba credenciales, puede aprovecharlas.
Adjunte credenciales a las instancias subyacentes de los grupos de nodos. En este caso, todas las cargas de trabajo que se ejecutan en el mismo nodo comparten las credenciales, lo que puede resultar en un conjunto de permisos mayor del que podrían necesitar. Para bloquear el acceso a los permisos de una instancia, los clústeres de GKE bloquean el acceso de un pod al servicio de metadatos de la instancia.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-06-12 (UTC)."],[],[],null,["# Workload identity overview\n==========================\n\n*Workload identity* enables you to assign distinct, fine-grained identities and\nauthorization for each application in your cluster. Workload identity is the\nrecommended way for applications running within GKE on Azure to access\nAzure and Google Cloud services.\n\nAll GKE clusters have workload identity enabled.\n\nKubernetes service accounts\n---------------------------\n\nWorkload identity implements *identity federation* , or delegating trust or roles\nto an external provider. Each cluster has a built-in OpenID Connect (OIDC)\nprovider. When a Pod runs in the cluster, it runs using a\n[Kubernetes service account](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/).\nThe Pod can be configured to obtain a token with short-lived credentials for\nits Kubernetes service account using a\n[Bound Service Account Token Volume](https://kubernetes.io/docs/reference/access-authn-authz/service-accounts-admin/#bound-service-account-token-volume).\n\nOpenID Connect providers\n------------------------\n\nEach cluster can act as an\n[OpenID Connect (OIDC)](https://openid.net/connect/) provider. With\nthis provider, you can provide Kubernetes service account credentials to\nservices that support identity federation using OIDC.\n\nThis provider's issuer URI also serves as an OIDC discovery endpoint. Services\ncan use this discovery endpoint to obtain the JSON Web Key Set (JWKS), which\nprovides public key information that allows them to verify Kubernetes service\naccount credentials.\n\nGoogle Cloud IAM identity pools and providers\n---------------------------------------------\n\nGoogle Cloud IAM supports\n[identity federation using OIDC](https://cloud.google.com/iam/docs/workload-identity-federation).\nAll GKE clusters are configured as identity providers in the\nworkload identity pool \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e`.svc.id.goog`.\n\nTo get the name of your workload identity pool and providers, see\n[Use workload identity with Google Cloud](/kubernetes-engine/multi-cloud/docs/azure/how-to/use-workload-identity-google#determine_the_workload_identity_pool_for_your_cluster).\n\nAlternatives to workload identity\n---------------------------------\n\nThere are alternative methods to access services from GKE on Azure.\nWe don't recommended the following methods due to complications.\n\n1. Export credentials and store them as Kubernetes Secrets. In this case,\n you must rotate stored credentials manually in both Azure IAM and\n in your cluster. Additionally, if an attacker steals credentials, they can\n exploit them.\n\n2. Attach credentials to the node pools's underlying instances. In this case,\n all workloads running on the same node share the credentials,\n which can result in a greater set of permissions than workloads might\n need. To block access to an instance's permissions, GKE clusters\n blocks access from a Pod to the instance metadata service.\n\nWhat's next\n-----------\n\n- [Using workload identity with Google Cloud services](/kubernetes-engine/multi-cloud/docs/azure/how-to/use-workload-identity-google)\n- Learn more about [Workload identity federation](/iam/docs/workload-identity-federation#pools)"]]
