Configurer la gestion du cycle de vie pour les charges de travail gérées

Ce document explique comment configurer la gestion du cycle de vie des certificats pour les charges de travail gérées telles que Compute Engine et Google Kubernetes Engine (GKE) à l'aide de Certificate Manager (2e génération). Vous pouvez automatiser l'émission et le renouvellement des certificats en associant un pool d'identités de charge de travail géré à un pool Certificate Authority Service à l'aide d'une configuration d'émission de certificat. Cela permet d'éviter les pannes de service causées par des certificats expirés.

Avant de commencer

  1. Connectez-vous à votre Google Cloud compte. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.

Rôles requis

Pour obtenir les autorisations nécessaires afin de configurer la gestion du cycle de vie, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Configurer le cycle de vie pour les charges de travail gérées

Configurez un pool d'identités de charge de travail géré pour spécifier comment les charges de travail associées reçoivent et renouvellent les certificats à partir de votre pool CA Service existant.

  1. Dans la Google Cloud console, accédez à la page Certificate Manager (2e génération).

    Accéder à Certificate Manager (2e génération)

  2. Dans le volet de navigation, cliquez sur Gérer le cycle de vie.
  3. Sélectionnez l'onglet Workload Identity gérée.
  4. Recherchez le pool d'identités de charge de travail que vous souhaitez configurer, puis cliquez sur Configurer la gestion du cycle de vie.
  5. Sélectionnez la région et le pool d'autorités de certification pour la région.
  6. Dans le champ Durée de vie du certificat, spécifiez la validité du certificat émis. La valeur doit être comprise entre 21 et 30 jours.
  7. Définissez la fenêtre de rotation sur une valeur comprise entre 50 et 80. Il s'agit du pourcentage de la durée de vie du certificat qui déclenche un renouvellement.
  8. Dans le champ Algorithme de clé, sélectionnez l'algorithme de chiffrement à utiliser pour générer la clé privée.
  9. Cliquez sur Mettre à jour.

Étape suivante