לפני שמתחילים
- נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
התפקידים הנדרשים
כדי לקבל את ההרשאות שדרושות להגדרה של ניהול מחזור החיים, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:
- עריכה ב-Certificate Manager (
roles/certificatemanager.editor) - מנהל אישורים של שירות CA (
roles/privateca.certificateManager) - אדמין במאגר זהויות של עומסי עבודה (
roles/iam.workloadIdentityPoolAdmin)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
הגדרת מחזור חיים לעומסי עבודה מנוהלים
מגדירים מאגר זהויות מנוהל של עומסי עבודה כדי לציין איך עומסי עבודה משויכים מקבלים ומחדשים אישורים ממאגר קיים של CA Service.
- נכנסים לדף Certificate Manager (דור שני) במסוף Google Cloud .
- בחלונית הניווט, לוחצים על Manage Lifecycle (ניהול מחזור החיים).
- לוחצים על הכרטיסייה Managed Workload Identity (זהויות מנוהלות של עומסי עבודה).
- מאתרים את מאגר הזהויות של עומסי עבודה שרוצים להגדיר ולוחצים על Configure lifecycle management (הגדרת ניהול מחזור חיים).
- בוחרים את האזור ואת מאגר האישורים לאזור.
- בשדה Certificate lifetime, מציינים את תוקף האישור שהונפק. הערך צריך להיות בין 21 ל-30 ימים.
- מגדירים את חלון הרוטציה לערך בין 50 ל-80. זהו האחוז ממחזור החיים של האישור שמפעיל חידוש.
- בשדה אלגוריתם המפתח, בוחרים את אלגוריתם ההצפנה שבו יש להשתמש כדי ליצור את המפתח הפרטי.
- לוחצים על עדכון.
המאמרים הבאים
- צפייה במלאי האישורים
- יצירת הגדרת הנפקה
- מעקב אחרי האישורים
- הגדרת ניהול מחזור חיים למאזני עומסים
- יצירת הגדרת אמון