Configurer l'authentification des identités de charge de travail gérées pour Compute Engine

Ce document explique comment configurer des identités de charge de travail gérées pour Compute Engine à l'aide de gcloud CLI. Il explique également comment configurer le provisionnement automatique et la gestion du cycle de vie des identités de charge de travail gérées pour Compute Engine à l'aide de Certificate Authority Service, qui vous permet d'établir des connexions TLS mutuelles (mTLS) entre les charges de travail.

Pour demander l'accès aux identités de charge de travail gérées pour Compute Engine, remplissez le formulaire de demande d'accès.

Avant de commencer

1. Créez ou sélectionnez un projet Google Cloud .

   Rôles requis pour sélectionner ou créer un projet

   • Sélectionnez un projet : la sélection d'un projet ne nécessite pas de rôle IAM spécifique. Vous pouvez sélectionner n'importe quel projet pour lequel un rôle vous a été attribué.
   • Créer un projet : pour créer un projet, vous devez disposer du rôle Créateur de projet (roles/resourcemanager.projectCreator), qui contient l'autorisation resourcemanager.projects.create. Découvrez comment attribuer des rôles.

   • Créez un projet Google Cloud  :

     gcloud projects create PROJECT_ID

     Remplacez PROJECT_ID par le nom du projet Google Cloud que vous créez.

   • Sélectionnez le projet Google Cloud que vous avez créé :

     gcloud config set project PROJECT_ID

     Remplacez PROJECT_ID par le nom de votre projet Google Cloud .

2. Demandez l'accès à la version preview des identités de charge de travail gérées pour Compute Engine.

3. Comprendre les identités de charge de travail gérées

4. Découvrez ce qu'est l'émission de certificats à l'aide de Certificate Authority Service.

5. Découvrez comment authentifier les charges de travail Compute Engine à l'aide d'identités de charge de travail gérées.

6. Activez les API IAM et Certificate Authority Service :

   Rôles requis pour activer les API

   Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

   gcloud services enable iam.googleapis.com privateca.googleapis.com

7. Configurez Google Cloud CLI afin d'utiliser le projet ajouté à la liste d'autorisation pour la facturation et les quotas.

   gcloud config set billing/quota_project PROJECT_ID
   

   Remplacez PROJECT_ID par l'ID du projet qui a été ajouté à la liste d'autorisation pour l'identité de charge de travail gérée en preview.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer des identités de charge de travail gérées et provisionner des certificats d'identité de charge de travail gérés, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet :

• Pour créer et configurer des identités de charge de travail gérées :
  • Administrateur de pools d'identités de charge de travail IAM (roles/iam.workloadIdentityPoolAdmin)
  • Administrateur de compte de service (roles/iam.serviceAccountAdmin)
• Pour créer et configurer des pools d'autorités de certification : Administrateur de services d'autorité de certification (roles/privateca.admin)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Le rôle de base IAM "Propriétaire" (roles/owner) inclut également des autorisations permettant de configurer les identités de charge de travail gérées. Les rôles de base ne doivent pas être attribués dans un environnement de production, mais ils peuvent être attribués dans un environnement de développement ou de test.

Présentation

Pour utiliser des identités de charge de travail gérées pour vos applications, vous devez effectuer les tâches suivantes :

1. Administrateur de la sécurité

   • Créez un pool d'identités de charge de travail.
   • Configurer une autorité de certification (pour choisir une option d'autorité de certification, configurer des autorités de certification et mettre à jour le pool).
   • Créez des identités de charge de travail gérées dans le pool d'identités de charge de travail.
   • Définissez une règle d'attestation de charge de travail et créez un compte de service.

2. Administrateur de Compute :

   Activez les identités de charge de travail gérées pour les charges de travail exécutées dans Compute Engine :

   • Pour les VM individuelles
   • Pour les groupes d'instances gérés (MIG).

Créez un pool d'identités de charge de travail.

1. Pour configurer des identités de charge de travail gérées, vous devez créer un pool en mode TRUST_DOMAIN.

   gcloud iam workload-identity-pools create POOL_ID \
     --location="global" \
     --mode="TRUST_DOMAIN"
   

   Remplacez POOL_ID par l'ID unique du pool. L'ID doit comporter entre 4 et 32 caractères, ne contenir que des caractères alphanumériques minuscules et des tirets, et commencer et se terminer par un caractère alphanumérique. Une fois que vous avez créé un pool d'identités de charge de travail, vous ne pouvez plus modifier son ID.

2. Pour vérifier que votre pool d'identités de charge de travail a été créé en mode TRUST_DOMAIN, exécutez la commande workload-identity-pools describe.

   gcloud iam workload-identity-pools describe POOL_ID \
     --location="global"
   

   Le résultat ressemble à ce qui suit :

   mode: TRUST_DOMAIN
   name: projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID
   state: ACTIVE
   

   Si mode: TRUST_DOMAIN ne figure pas dans le résultat de la commande, vérifiez que votre projet a été ajouté à la liste d'autorisation pour la version preview de l'identité de charge de travail gérée et que vous avez correctement configuré votre gcloud CLI afin d'utiliser le projet approprié pour la facturation et les quotas. Assurez-vous d'avoir installé la dernière version de gcloud CLI.

Choisir une option d'autorité de certification

Pour signer vos certificats de charge de travail, choisissez l'option d'autorité de certification (CA) qui correspond le mieux à votre cas d'utilisation :

• Autorité de certification par défaut gérée par Google : utilisez cette option pour une solution entièrement gérée et sans frais. L'autorité de certification par défaut fournit une racine de confiance partagée pour tous les utilisateursGoogle Cloud .

• Autorité de certification personnalisée : utilisez cette option pour configurer votre propre infrastructure à clé publique (PKI) via Certificate Authority Service. Cette option est appropriée si vous avez besoin d'une racine de confiance personnalisée ou si vous devez stocker les clés de signature dans un module de sécurité matérielle (HSM) pour répondre aux exigences de conformité. Certificate Authority Service est facturé séparément de l'identité de charge de travail gérée. Pour en savoir plus, consultez la section Tarifs du service d'autorité de certification.

Configurer une autorité de certification

gcloud iam workload-identity-pools update TRUST_DOMAIN_NAME \
    --location="global" \
    --use-default-shared-ca \
    --project=PROJECT_ID

Créer des identités de charge de travail gérées

Les identités de charge de travail gérées permettent à Google Cloud de provisionner automatiquement les identifiants des identités de pool d'identités de charge de travail sur vos charges de travail. Les identités de charge de travail sont définies dans un pool d'identités de charge de travail et sont organisées en limites administratives appelées espaces de noms.

Créer un espace de noms

La commande workload-identity-pools namespaces create vous permet de créer un espace de noms dans un pool d'identités de charge de travail.

gcloud iam workload-identity-pools namespaces create NAMESPACE_ID \
    --workload-identity-pool="POOL_ID" \
    --location="global"

Remplacez les éléments suivants :

• NAMESPACE_ID : ID unique de l'espace de noms. L'ID doit comporter entre 2 et 63 caractères, ne contenir que des caractères alphanumériques minuscules et des tirets, et commencer et se terminer par un caractère alphanumérique. Une fois que vous avez créé un espace de noms, vous ne pouvez pas modifier son ID.
• POOL_ID : ID du pool d'identités de charge de travail que vous avez créé précédemment.

Créer une identité de charge de travail gérée

La commande workload-identity-pools managed-identities create vous permet de créer une identité de charge de travail gérée dans un espace de noms de pool d'identités de charge de travail.

gcloud iam workload-identity-pools managed-identities create MANAGED_IDENTITY_ID \
    --namespace="NAMESPACE_ID" \
    --workload-identity-pool="POOL_ID" \
    --location="global"

Remplacez les éléments suivants :

• MANAGED_IDENTITY_ID : ID unique de l'identité gérée. L'ID doit comporter entre 2 et 63 caractères, ne contenir que des caractères alphanumériques minuscules et des tirets, et commencer et se terminer par un caractère alphanumérique. Une fois que vous avez créé une identité de charge de travail gérée, vous ne pouvez pas modifier son ID.
• NAMESPACE_ID : ID de l'espace de noms que vous avez créé précédemment.
• POOL_ID : ID du pool d'identités de charge de travail que vous avez créé précédemment.

L'ID de votre identité de charge de travail gérée est l'identifiant SPIFFE, dont le format est le suivant :

spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID

Définir une règle d'attestation de charge de travail

Cette section explique comment configurer une règle d'attestation. Cette règle détermine les attributs utilisés par Google Cloud IAM pour vérifier l'identité de la charge de travail. Une fois la validation effectuée, la charge de travail appelante peut recevoir un identifiant.

La validation repose sur l'un des attributs suivants de la charge de travail :

• ID d'instance de VM
• Adresse e-mail du compte de service associé
• UID du compte de service associé

Définir une règle d'attestation de charge de travail avec des règles d'attestation

Pour créer une règle d'attestation qui permet à votre charge de travail d'utiliser l'identité gérée, procédez comme suit :

1. Déterminez si vous souhaitez créer une règle d'attestation qui permet à votre charge de travail d'attester l'identité gérée à l'aide de son compte de service associé ou de son ID d'instance.

2. Créez un fichier de stratégie d'attestation au format JSON.

   1. Facultatif : Pour recevoir des identifiants X.509 sur votre instance Compute Engine, vous devez activer un compte de service associé. Nous vous recommandons d'associer un nouveau compte de service à votre charge de travail en le créant d'abord à l'aide de la commande suivante :

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
      

      Remplacez SERVICE_ACCOUNT_NAME par le nom du compte de service.

   2. Créez un fichier de stratégie d'attestation au format JSON qui atteste en fonction de l'adresse e-mail du compte de service, de l'UID du compte de service ou de l'ID de l'instance.

      Adresse e-mail du compte de service

      Pour créer un fichier de règle d'attestation qui atteste en fonction de l'adresse e-mail du compte de service, créez un fichier avec le contenu suivant :

      {
         "attestationRules": [
            {
               "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.email/SERVICE_ACCOUNT_EMAIL"
            }
         ],
      }
      

      Remplacez les éléments suivants :

      • WORKLOAD_PROJECT_NUMBER : numéro du projet contenant l'instance de VM ou le compte de service

      Pour obtenir le numéro du projet contenant l'identité gérée ou le compte de service que vous venez de créer, exécutez la commande suivante :

         gcloud projects describe $(gcloud config get-value project) \
            --format="value(projectNumber)"
      

      • SERVICE_ACCOUNT_EMAIL : adresse e-mail du compte de service associé à la VM

      UID du compte de service

      Pour créer un fichier de règle d'attestation qui atteste en fonction de l'UID du compte de service, créez un fichier avec le contenu suivant :

      {
         "attestationRules": [
            {
               "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID"
            }
         ],
      }
      

      Remplacez les éléments suivants :

      • WORKLOAD_PROJECT_NUMBER : numéro du projet contenant l'instance de VM ou le compte de service

      Pour obtenir le numéro du projet contenant l'identité gérée ou le compte de service que vous venez de créer, exécutez la commande suivante :

         gcloud projects describe $(gcloud config get-value project) \
            --format="value(projectNumber)"
      

      • SERVICE_ACCOUNT_UID : UID du compte de service associé à la VM

      Pour obtenir l'ID unique du compte de service, exécutez la commande suivante :

         gcloud iam service-accounts describe SERVICE_ACCOUNT_EMAIL\
            --format="value(uniqueId)"
      

      ID d'instance

      Pour créer un fichier de règles d'attestation qui atteste en fonction de l'ID d'instance, créez un fichier avec le contenu suivant :

      {
         "attestationRules": [
            {
               "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/uid/zones/ZONE/instances/INSTANCE_ID"
            }
         ],
      }
      

      Remplacez les éléments suivants :

      • WORKLOAD_PROJECT_NUMBER : numéro du projet contenant l'instance de VM ou le compte de service

      Pour obtenir le numéro du projet contenant l'identité gérée ou le compte de service que vous venez de créer, exécutez la commande suivante :

         gcloud projects describe $(gcloud config get-value project) \
            --format="value(projectNumber)"
      

      • INSTANCE_ID : ID de l'instance de VM Compute Engine

      La valeur d'un ID d'instance doit provenir d'une instance Compute Engine existante. Pour obtenir l'ID de votre instance, exécutez la commande suivante :

      gcloud compute instances describe INSTANCE_NAME --zone=ZONE --format="get(id)"
      

      • INSTANCE_NAME : nom de l'instance de VM Compute Engine
      • ZONE : zone de la VM Compute Engine

3. Créez la stratégie d'attestation à l'aide du fichier JSON de stratégie que vous avez créé précédemment dans ce document :

   gcloud iam workload-identity-pools managed-identities set-attestation-rules MANAGED_IDENTITY_ID \
      --namespace=NAMESPACE_ID \
      --workload-identity-pool=POOL_ID \
      --policy-file=PATH_TO_POLICY_JSON_FILE \
      --location=global
   

   Remplacez les éléments suivants :

   • MANAGED_IDENTITY_ID : ID unique de l'identité gérée. L'ID doit comporter entre 2 et 63 caractères, ne contenir que des caractères alphanumériques minuscules et des tirets, et commencer et se terminer par un caractère alphanumérique. Une fois que vous avez créé une identité de charge de travail gérée, vous ne pouvez pas modifier son ID.
   • NAMESPACE_ID : ID de l'espace de noms que vous avez créé précédemment.
   • POOL_ID : ID du pool d'identités de charge de travail que vous avez créé précédemment.
   • PATH_TO_POLICY_JSON_FILE : chemin d'accès au fichier JSON représentant la stratégie d'attestation que vous avez créée précédemment.

   Vous pouvez également mettre à jour la stratégie en ajoutant ou en supprimant des règles d'attestation individuellement. Pour ajouter une attestation à votre règle d'attestation, exécutez la commande suivante :

   gcloud iam workload-identity-pools managed-identities add-attestation-rule MANAGED_IDENTITY_ID \
      --namespace=NAMESPACE_ID \
      --workload-identity-pool=POOL_ID \
      --google-cloud-resource='//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID' \
      --location=global
   

4. Pour savoir comment lister ou supprimer les règles d'attestation, exécutez les commandes suivantes :

   gcloud iam workload-identity-pools managed-identities list-attestation-rules --help
   gcloud iam workload-identity-pools managed-identities remove-attestation-rule --help
   

Facultatif : Activer la fédération d'approbation entre les pools d'identités de charge de travail

Pour activer l'authentification mutuelle pour les charges de travail dans différents domaines de confiance, vous pouvez configurer la fédération de confiance.

1. Créez un fichier trust-config.yaml avec le contenu suivant :

   inlineTrustConfig:
   additionalTrustBundles:
     POOL_ID.global.PROJECT_NUMBER.workload.id.goog:
        trustAnchors:
        - pemCertificate: "-----BEGIN CERTIFICATE-----\nPEM_ENCODED_CERTIFICATE\n-----END CERTIFICATE-----"

   Remplacez les éléments suivants dans le fichier :

   • POOL_ID : ID du pool d'identités de charge de travail avec lequel vous souhaitez effectuer la fédération.
   • PROJECT_NUMBER : numéro de projet du pool d'identités de charge de travail avec lequel vous souhaitez effectuer la fédération.
   • PEM_ENCODED_CERTIFICATE : certificat CA racine encodé au format PEM du pool d'identités de charge de travail avec lequel vous souhaitez effectuer la fédération.

2. Pour mettre à jour le pool d'identités de charge de travail avec la configuration de confiance, exécutez la commande suivante :

   gcloud iam workload-identity-pools update POOL_ID \
     --location="global" \
     --inline-trust-config-file=TRUST_CONFIG_FILE
   

   Remplacez les éléments suivants :

   • POOL_ID : ID unique du pool.
   • TRUST_CONFIG_FILE : chemin d'accès au fichier trust-config.yaml.

Étapes suivantes

• Résoudre les problèmes d'authentification des identités de charge de travail gérées pour Compute Engine
• Configurer l'authentification de la charge de travail à la charge de travail à l'aide de mTLS
• Configurer l'équilibrage de charge avec mTLS de backend à l'aide de l'identité de charge de travail gérée
• En savoir plus sur la création de pools d'autorités de certification.