Configura la gestione del ciclo di vita per i workload gestiti

Questo documento mostra come configurare la gestione del ciclo di vita dei certificati per i workload gestiti come Compute Engine e Google Kubernetes Engine (GKE), utilizzando Certificate Manager (2ª generazione.). Puoi automatizzare l'emissione e il rinnovo dei certificati collegando un pool di identità del workload gestite a un pool di Certificate Authority Service utilizzando una configurazione di emissione dei certificati. In questo modo si evitano interruzioni del servizio causate da certificati scaduti.

Prima di iniziare

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare la gestione del ciclo di vita, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Configura il ciclo di vita per i workload gestiti

Configura un pool di identità del workload gestito per specificare in che modo i workload associati ricevono e rinnovano i certificati dal tuo pool di CA Service esistente.

  1. Nella console Google Cloud , vai alla pagina Certificate Manager (2ª generazione.).

    Vai a Certificate Manager (2ª generazione.)

  2. Nel riquadro di navigazione, fai clic su Gestisci ciclo di vita.
  3. Seleziona la scheda Workload Identity gestita.
  4. Individua il pool di identità del workload che vuoi configurare, quindi fai clic su Configura gestione del ciclo di vita.
  5. Seleziona la regione e il pool di CA per la regione.
  6. Nel campo Durata del certificato, specifica la validità del certificato emesso. Il valore deve essere compreso tra 21 e 30 giorni.
  7. Imposta la Finestra di rotazione su un valore compreso tra 50 e 80. Questa è la percentuale della durata del certificato che attiva un rinnovo.
  8. Nel campo Algoritmo chiave, seleziona l'algoritmo di crittografia da utilizzare per generare la chiave privata.
  9. Fai clic su Aggiorna.

Passaggi successivi