Utiliser les identités de charge de travail avec Google Cloud

Workload Identity vous permet d'attribuer des identités et une autorisation distinctes et précises pour chaque application du cluster. Workload Identity est la solution recommandée pour que les applications exécutées dans GKE sur Azure puissent accéder aux services Google Cloud. Pour en savoir plus, consultez la page concernant Workload Identity.

Cet article explique comment utiliser Workload Identity pour vous connecter aux services Google Cloud à partir de vos charges de travail.

Configurer un compte de service Google Cloud

Dans cette section, vous allez créer un compte de service Google Cloud (GSA) avec des autorisations limitées pour accéder aux services Google Cloud.

Obtenir votre pool d'identités de charge de travail et votre fournisseur

Pour configurer Workload Identity, vous devez disposer des valeurs de l'URI du fournisseur d'identité de votre cluster et des pools d'identités de charge de travail.

  1. Déterminer le pool d'identités de charge de travail pour votre cluster

    Tous les clusters GKE disposent d'un fournisseur d'identité créé dans le pool d'identités de charge de travail PROJECT_ID.svc.id.goog. Pour obtenir le nom du pool d'identités de votre cluster, utilisez Google Cloud CLI :

    gcloud container azure clusters describe CLUSTER_NAME \
        --location=GOOGLE_CLOUD_LOCATION \
        --format='value(workloadIdentityConfig.workloadPool)'
    

    Remplacez les éléments suivants :

    • CLUSTER_NAME par le nom de votre cluster.
    • GOOGLE_CLOUD_LOCATION par le nom de l'emplacement Google Cloud qui gère votre cluster.

    La sortie inclut le nom du pool d'identités de votre cluster. Enregistrez cette valeur. Vous en aurez besoin ultérieurement.

  2. Déterminer le fournisseur d'identité pour votre cluster

    Pour trouver le nom du fournisseur d'identité de votre cluster, utilisez Google Cloud CLI :

    gcloud container azure clusters describe CLUSTER_NAME \
        --location=GOOGLE_CLOUD_LOCATION \
        --format='value(workloadIdentityConfig.identityProvider)'
    

    Remplacez les éléments suivants :

    • CLUSTER_NAME
    • GOOGLE_CLOUD_LOCATION

    La sortie inclut le nom du fournisseur d'identités de votre cluster. Enregistrez cette valeur. Vous en aurez besoin ultérieurement.

Créer un compte de service Google Cloud

Pour créer un compte de service Google Cloud (GSA), lui attribuer des autorisations et ajouter une liaison de stratégie IAM au GSA, procédez comme suit :

  1. Créez le GSA avec Google Cloud CLI :

    gcloud iam service-accounts create GSA_NAME --project=PROJECT_ID
    

    Remplacez les éléments suivants :

    • GSA_NAME : nom du GSA de votre application.
    • PROJECT_ID : projet Google Cloud du GSA.
  2. Ajoutez une liaison IAM pour permettre au GSA d'accéder aux services.

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
        --role IAM_ROLE
    

    Remplacez les éléments suivants :

    • GSA_NAME : nom du GSA de votre application.
    • PROJECT_ID : ID de projet du GSA.
    • IAM_ROLE : rôle IAM à attribuer au GSA.

    Dans cet exemple, nous allons utiliser le rôle roles/compute.viewer, qui permet un accès en lecture seule aux services de calcul :

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
        --role roles/compute.viewer
    
  3. Accordez des autorisations à votre compte de service Kubernetes (KSA) pour emprunter l'identité du GSA. Pour ce faire, ajoutez une liaison de stratégie IAM avec le rôle roles/iam.workloadIdentityUser :

    gcloud iam service-accounts add-iam-policy-binding GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
        --member serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE//KSA_NAME] \
        --role roles/iam.workloadIdentityUser
    

    Remplacez les éléments suivants :

    • GSA_NAME
    • PROJECT_ID
    • NAMESPACE : espace de noms Kubernetes de l'application.
    • KSA_NAME : KSA à utiliser pour l'application.

Déploiement d'un exemple d'application

Dans cette section, vous allez déployer un exemple d'application qui accède à l'API Compute Engine. Pour utiliser cet exemple, le rôle IAM roles/compute.viewer doit être attribué à votre compte de service. Pour déployer l'exemple d'application, procédez comme suit :

  1. Copiez le fichier manifeste suivant dans un fichier nommé workload-identity-sample.yaml :

    apiVersion: v1
    kind: Namespace
    metadata:
      name: NAMESPACE
    ---
    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: KSA_NAME
      namespace: NAMESPACE
    automountServiceAccountToken: false
    ---
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: cloud-sdk-config
      namespace: NAMESPACE
    data:
      config: |
        {
          "type": "external_account",
          "audience": "identitynamespace:PROJECT_ID.svc.id.goog:IDENTITY_PROVIDER",
          "service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/GSA_NAME@PROJECT_ID.iam.gserviceaccount.com:generateAccessToken",
          "subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
          "token_url": "https://sts.googleapis.com/v1/token",
          "credential_source": {
            "file": "/var/run/secrets/tokens/gcp-ksa/token"
          }
        }
    ---
    apiVersion: v1
    kind: Pod
    metadata:
      name: cloud-sdk-example
      namespace: NAMESPACE
    spec:
      serviceAccount: KSA_NAME
      containers:
      - name: cloud-sdk
        image: gcr.io/google.com/cloudsdktool/cloud-sdk:latest
        command:
        - /bin/bash
        - -c
        - 'set -eu -o pipefail; while true; do gcloud compute zones list --filter="name ~ us-central1-*"; sleep 5; done'
        env:
        - name: CLOUDSDK_AUTH_CREDENTIAL_FILE_OVERRIDE
          value: /var/run/secrets/tokens/gcp-ksa/google-application-credentials.json
        - name: CLOUDSDK_CORE_PROJECT
          value: PROJECT_ID
        volumeMounts:
        - name: gcp-ksa
          mountPath: /var/run/secrets/tokens/gcp-ksa
          readOnly: true
      volumes:
      - name: gcp-ksa
        projected:
          defaultMode: 420
          sources:
          - serviceAccountToken:
              audience: PROJECT_ID.svc.id.goog
              expirationSeconds: 86400
              path: token
          - configMap:
              name: cloud-sdk-config
              optional: false
              items:
              - key: config
                path: google-application-credentials.json
    

    Remplacez les éléments suivants :

    • PROJECT_ID
    • NAMESPACE
    • KSA_NAME
    • GSA_NAME
    • IDENTITY_PROVIDER par le nom du fournisseur d'identité de votre cluster.
  2. Appliquez le fichier manifeste à votre cluster :

    kubectl apply -f workload-identity-sample.yaml
    
  3. Vérifiez que l'exemple d'application fonctionne et consultez les journaux du pod :

    kubectl logs -f cloud-sdk-example -n NAMESPACE
    

    Remplacez les éléments suivants :

    • NAMESPACE

    Si le pod parvient à accéder à l'API de calcul Google Cloud, la sortie ressemble à ceci :

    NAME           REGION       STATUS  NEXT_MAINTENANCE  TURNDOWN_DATE
    us-central1-c  us-central1  UP
    us-central1-a  us-central1  UP
    us-central1-f  us-central1  UP
    us-central1-b  us-central1  UP
    

Nettoyer

  1. Supprimer l'exemple d'application

    kubectl delete -f manifest.yaml
    
  2. Supprimer la liaison de stratégie IAM du compte de service Google Cloud

    gcloud iam service-accounts remove-iam-policy-binding \
        GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
        --member serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE//KSA_NAME] \
        roles/iam.workloadIdentityUser
    

    Remplacez les éléments suivants :

    • GSA_NAME
    • PROJECT_ID
    • NAMESPACE
    • KSA_NAME
  3. Supprimez la liaison de stratégie IAM du projet.

    gcloud projects remove-iam-policy-binding PROJECT_ID \
        --member serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
        --role roles/compute.viewer
    

    Remplacez les éléments suivants :

    • GSA_NAME
    • PROJECT_ID
  4. Supprimer le compte de service Google Cloud

    gcloud iam service-accounts delete \
       GSA_NAME@PROJECT_ID.iam.gserviceaccount.com
    

    Remplacez les éléments suivants :

    • GSA_NAME
    • PROJECT_ID

Étape suivante