Configurar a autenticação de identidade da carga de trabalho gerenciada para o Compute Engine

Neste documento, descrevemos como configurar identidades de carga de trabalho gerenciadas para o Compute Engine usando a CLI gcloud. Também descrevemos como configurar o provisionamento automático e o gerenciamento do ciclo de vida de identidades de cargas de trabalho gerenciadas para o Compute Engine usando o Certificate Authority Service, que permite estabelecer conexões TLS mútuas (mTLS) entre cargas de trabalho.

Para solicitar acesso às identidades gerenciadas de carga de trabalho para o Compute Engine, preencha o formulário de solicitação de acesso.

Antes de começar

  1. Crie ou selecione um Google Cloud projeto.

    Funções necessárias para selecionar ou criar um projeto

    • Selecionar um projeto: não é necessário um papel específico do IAM para selecionar um projeto. Você pode escolher qualquer projeto em que tenha recebido um papel.
    • Criar um projeto: para criar um projeto, é necessário ter o papel de Criador de projetos (roles/resourcemanager.projectCreator), que contém a permissão resourcemanager.projects.create. Saiba como conceder papéis.

    • Crie um projeto do Google Cloud :

      gcloud projects create PROJECT_ID

      Substitua PROJECT_ID por um nome para o projeto Google Cloud que você está criando.

    • Selecione o projeto Google Cloud que você criou:

      gcloud config set project PROJECT_ID

      Substitua PROJECT_ID pelo nome do projeto do Google Cloud .

  2. Solicite acesso à prévia das identidades de carga de trabalho gerenciadas para o Compute Engine.

    .

  3. Entenda as identidades das cargas de trabalho gerenciadas.

  4. Saiba mais sobre a emissão de certificados usando o Certificate Authority Service.

  5. Saiba como autenticar cargas de trabalho do Compute Engine usando identidades de carga de trabalho gerenciadas.

  6. Ative as APIs IAM e Certificate Authority Service:

    Funções necessárias para ativar APIs

    Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis. 

    gcloud services enable iam.googleapis.com privateca.googleapis.com

  7. Configure a CLI do Google Cloud para usar o projeto adicionado à lista de permissões para faturamento e cota.

    gcloud config set billing/quota_project PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto que foi adicionado à lista de permissões para a visualização da identidade da carga de trabalho gerenciada.

Funções exigidas

Para ter as permissões necessárias para criar identidades de carga de trabalho gerenciadas e provisionar certificados de identidade de carga de trabalho gerenciada, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Como alternativa, o papel básico de proprietário do IAM (roles/owner) também inclui permissões para configurar identidades de carga de trabalho gerenciada. Não conceda papéis básicos em um ambiente de produção, recomendamos que você faça isso em um ambiente de desenvolvimento ou teste.

Visão geral

Para usar identidades de carga de trabalho gerenciada nos aplicativos, execute as tarefas a seguir:

  1. Administrador de segurança:

  2. Administrador de computação:

    Ative as identidades das cargas de trabalho gerenciadas para cargas de trabalho em execução no Compute Engine:

Criar um pool de identidade da carga de trabalho

  1. Para configurar identidades de carga de trabalho gerenciadas, crie um pool no modo TRUST_DOMAIN.

    gcloud iam workload-identity-pools create POOL_ID \
  --location="global" \
  --mode="TRUST_DOMAIN"

    Substitua POOL_ID pelo ID exclusivo do pool. O ID precisa ter entre 4 e 32 caracteres, conter apenas caracteres alfanuméricos minúsculos e traços, além de começar e terminar com um caractere alfanumérico. Depois de criar um pool de identidades de cargas de trabalho, não é possível alterar o ID dele.

  2. Para verificar se o pool de Identidade da carga de trabalho foi criado no modo TRUST_DOMAIN, execute o comando workload-identity-pools describe.

    gcloud iam workload-identity-pools describe POOL_ID \
  --location="global"

    O resultado será o seguinte:

    mode: TRUST_DOMAIN
name: projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID
state: ACTIVE

    Se mode: TRUST_DOMAIN não estiver presente na resposta ao comando, verifique se o projeto foi adicionado à lista de permissões da visualização da Identidade da carga de trabalho gerenciada e se você configurou corretamente a CLI gcloud para usar o projeto correto para faturamento e cota. Verifique se você atualizou para a versão mais recente da CLI gcloud.

Escolher uma opção de CA

Para assinar os certificados da sua carga de trabalho, escolha a opção de autoridade certificadora (AC) que melhor se adapta ao seu caso de uso:

  • AC padrão gerenciada pelo Google: use essa opção para uma solução totalmente gerenciada e sem custo financeiro. A AC padrão fornece uma raiz de confiança compartilhada para todos os usuários do Google Cloud .

  • AC personalizada: use essa opção para configurar sua própria infraestrutura de chave pública (PKI) com o Certificate Authority Service. Essa opção é adequada se você precisar de uma raiz de confiança personalizada ou se for necessário armazenar chaves de assinatura em um módulo de segurança de hardware (HSM) para atender aos requisitos de compliance. O Certificate Authority Service é cobrado separadamente da identidade gerenciada da carga de trabalho. Para mais informações, consulte Preços do serviço de CA.

Configurar uma CA

CA padrão

Para vincular a CA padrão ao pool de identidades da carga de trabalho, atualize o pool com a flag use-default-shared-ca.

gcloud iam workload-identity-pools update TRUST_DOMAIN_NAME \
    --location="global" \
    --use-default-shared-ca \
    --project=PROJECT_ID

Substitua:

  • TRUST_DOMAIN_NAME: o nome do domínio de confiança.
  • PROJECT_ID: o ID do projeto.

CA personalizada

Para configurar identidades de carga de trabalho gerenciadas usando uma CA personalizada, siga estas etapas:

  1. Configure o CA Service para emitir certificados para identidades de cargas de trabalho gerenciadas.
  2. Vincule as CAs ao pool de Identidade da carga de trabalho.
  3. Autorize que identidades das cargas de trabalho gerenciadas solicitem certificados do pool de AC.

Configurar o serviço de AC para emitir certificados para identidades de cargas de trabalho gerenciadas

Crie a configuração recomendada para autoridades de certificação (CAs) raiz e subordinadas usando pools do Certificate Authority Service. O pool de CA subordinada emite os certificados de identidade da carga de trabalho X.509 para as VMs.

Os pools de CA configurados para emitir certificados para VMs do Compute Engine usando identidades de carga de trabalho gerenciadas precisam estar na mesma região que a VM. Se você quiser projetar uma arquitetura multirregional para resiliência a interrupções regionais, recomendamos que configure um pool de CAs do Certificate Authority Service subordinado para cada uma das regiões da sua carga de trabalho. Assim, cada uma das suas VMs do Compute Engine pode referenciar um pool de AC do Certificate Authority Service subordinado na região.

Depois de configurar os pools de AC, você autoriza as identidades de carga de trabalho gerenciadas a solicitar e receber os certificados assinados dos pools de AC.

Configurar o pool de CAs raiz

Use a interface da CLI do Google Cloud para o Certificate Authority Service e configure um pool de CAs raiz.

Não é possível mover ou exportar um pool de ACs depois que ele é criado.

  1. Crie o pool de ACs raiz no nível Enterprise executando o comando gcloud privateca pools create. O nível Enterprise é destinado à emissão de certificados de longa duração e baixo volume.

    gcloud privateca pools create ROOT_CA_POOL_ID \
   --location=REGION \
   --tier=enterprise

    Substitua:

    • ROOT_CA_POOL_ID: um ID exclusivo para o pool de ACs raiz. O ID pode ter até 64 caracteres e precisa conter apenas caracteres alfanuméricos minúsculos e maiúsculos, sublinhados ou hifens. O ID do pool precisa ser exclusivo na região.
    • REGION: a região em que o pool de ACs raiz está localizado.

    Para mais informações, consulte Como criar pools de AC.

  2. Crie uma AC raiz no pool de AC raiz executando o comando gcloud privateca roots create. Talvez você precise ativar a AC raiz se essa for a única AC no pool de AC raiz.

    Por exemplo, é possível usar um comando semelhante ao seguinte para criar uma AC raiz.

    gcloud privateca roots create ROOT_CA_ID \
   --pool=ROOT_CA_POOL_ID \
   --subject "CN=ROOT_CA_CN, O=ROOT_CA_ORGANIZATION" \
   --key-algorithm="ec-p256-sha256" \
   --max-chain-length=1 \
   --location=REGION

    Substitua:

    • ROOT_CA_ID: um nome exclusivo para a CA raiz. O nome da CA pode ter até 64 caracteres e precisa conter apenas caracteres alfanuméricos minúsculos e maiúsculos, sublinhados ou hifens. O nome da AC precisa ser exclusivo na região.
    • ROOT_CA_POOL_ID: o ID do pool de ACs raiz.
    • ROOT_CA_CN: o nome comum da CA raiz
    • ROOT_CA_ORGANIZATION: a organização da CA raiz.
    • REGION: a região em que o pool de ACs raiz está localizado.

    Para mais informações, consulte Criar uma autoridade certificadora raiz. Para mais informações sobre os campos subject da AC, consulte Assunto.

  3. Opcional: repita as etapas anteriores para criar outra CA raiz no pool de CAs raiz. Isso pode ser útil para rotação de CA raiz.

Configurar as CAs subordinadas

Use a interface da CLI do Google Cloud para o Certificate Authority Service e criar um pool de CAs subordinados e uma CA subordinada.

Se você tiver vários cenários de emissão de certificados, poderá criar uma CA subordinada para cada um deles. Além disso, adicionar várias ACs subordinadas a um pool de ACs ajuda você a conseguir um melhor balanceamento de carga das solicitações de certificado.

Use o comando gcloud privateca pools create para criar um pool de CAs subordinadas.

  1. Crie o pool de CA subordinada no nível DevOps. Esse nível é destinado à emissão de certificados de alto volume e curta duração.

    gcloud privateca pools create SUBORDINATE_CA_POOL_ID \
  --location=REGION \
  --tier=devops

    Substitua:

    • SUBORDINATE_CA_POOL_ID: um ID exclusivo para o pool de ACs subordinadas. O ID pode ter até 64 caracteres e precisa conter apenas caracteres alfanuméricos minúsculos e maiúsculos, sublinhados ou hifens. O ID do pool precisa ser exclusivo na região.
    • REGION: a região na qual criar o pool de CAs subordinadas.

    Para mais informações, consulte Como criar pools de AC.

  2. Crie uma CA subordinada no pool de CAs subordinadas executando o comando gcloud privateca subordinates create. Não altere o modo de emissão baseado em configuração padrão.

    Por exemplo, é possível usar um comando semelhante ao seguinte para criar uma CA subordinada.

    gcloud privateca subordinates create SUBORDINATE_CA_ID \
  --pool=SUBORDINATE_CA_POOL_ID \
  --location=REGION \
  --issuer-pool=ROOT_CA_POOL_ID \
  --issuer-location=REGION \
  --subject="CN=SUBORDINATE_CA_CN, O=SUBORDINATE_CA_ORGANIZATION" \
  --key-algorithm="ec-p256-sha256" \
  --use-preset-profile=subordinate_mtls_pathlen_0

    Substitua:

    • SUBORDINATE_CA_ID: um nome exclusivo para a CA subordinada. O nome pode ter até 64 caracteres e precisa conter apenas caracteres alfanuméricos minúsculos e maiúsculos, sublinhados ou hifens. O nome da AC precisa ser exclusivo na região.
    • SUBORDINATE_CA_POOL_ID: o nome do pool de ACs subordinadas.
    • REGION: a região em que o pool de ACs subordinadas está localizado.
    • ROOT_CA_POOL_ID: o ID do pool de ACs raiz.
    • REGION: a região do pool de ACs raiz.
    • SUBORDINATE_CA_CN: o nome comum da CA subordinada.
    • SUBORDINATE_CA_ORGANIZATION: o nome da organização emissora de CA subordinada.

    Para mais informações, consulte Como criar pools de AC. Para mais informações sobre os campos subject da AC, consulte Assunto.

Vincular as CAs ao pool de identidades da carga de trabalho

Depois de criar a hierarquia de ACs, vincule as ACs ao pool de identidades da carga de trabalho atualizando o pool com cada uma das configurações de emissão de certificado da AC.

  1. Crie um arquivo issuance-config.yaml com o seguinte conteúdo:

    inlineCertificateIssuanceConfig:
caPools:
REGION: projects/PROJECT_ID/locations/REGION/caPools/SUBORDINATE_CA_POOL_ID
keyAlgorithm: RSA_2048
lifetime: 86400s
rotationWindowPercentage: 50

    Substitua o seguinte no arquivo:

    • REGION: a região em que o pool de ACs subordinadas está localizado.
    • PROJECT_ID: o ID do projeto que contém o pool de ACs subordinadas.
    • SUBORDINATE_CA_POOL_ID: o ID do pool de AC subordinada.

  2. Execute o seguinte comando para atualizar o pool de identidades da carga de trabalho:

    gcloud iam workload-identity-pools update POOL_ID \
   --location="global" \
   --inline-certificate-issuance-config-file=ISSUANCE_CONFIG_FILE

    Substitua:

    • POOL_ID: o ID exclusivo do pool.
    • ISSUANCE_CONFIG_FILE: o caminho para o arquivo issuance-config.yaml.

Autorizar que identidades das cargas de trabalho gerenciadas solicitem certificados do pool de ACs

As identidades de cargas de trabalho gerenciadas exigem permissões para solicitar certificados do serviço de AC e receber os certificados públicos.

  1. Conceda o papel do IAM de Solicitante de certificado da carga de trabalho de serviço de CA (roles/privateca.workloadCertificateRequester) em cada pool de CA subordinada à identidade da carga de trabalho gerenciada. O comando gcloud privateca pools add-iam-policy-binding a seguir autoriza a identidade da carga de trabalho gerenciada a solicitar certificados das cadeias de certificados de serviço de CA.

    gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \
  --location=REGION \
  --role=roles/privateca.workloadCertificateRequester \
  --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/name/locations/global/workloadIdentityPools/POOL_ID/*"

    Substitua:

    • SUBORDINATE_CA_POOL_ID: o ID do pool de AC subordinado.
    • REGION: a região do pool de CAs subordinadas
    • PROJECT_NUMBER: o número do projeto que contém o pool de identidade da carga de trabalho
    • POOL_ID: o ID do pool de identidade da carga de trabalho

  2. Conceda o papel do IAM Leitor do pool de serviços da CA (roles/privateca.poolReader) nos pools de CAs subordinadas à identidade da carga de trabalho gerenciada. Isso autoriza a identidade da carga de trabalho gerenciada a receber os certificados X.509 assinados das cadeias de certificados da AC.

    gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_ID \
  --location=REGION \
  --role=roles/privateca.poolReader \
  --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/name/locations/global/workloadIdentityPools/POOL_ID/*"

    Substitua:

    • SUBORDINATE_CA_POOL_ID: o ID do pool de AC subordinado.
    • REGION: a região do pool de CAs subordinadas
    • PROJECT_NUMBER: o número do projeto que contém o pool de identidade da carga de trabalho
    • POOL_ID: o ID do pool de identidade da carga de trabalho

Criar identidades de carga de trabalho gerenciada

As identidades de carga de trabalho gerenciadas permitem que o Google Cloud provisione automaticamente as credenciais para identidades do pool de Identidade da carga de trabalho nas cargas de trabalho. As identidades da carga de trabalho são definidas em um pool de Identidade da carga de trabalho e organizadas em limites administrativos chamados namespaces.

Criar um namespace

O comando workload-identity-pools namespaces create permite criar um namespace em um pool de identidades de cargas de trabalho.

gcloud iam workload-identity-pools namespaces create NAMESPACE_ID \
    --workload-identity-pool="POOL_ID" \
    --location="global"

Substitua:

  • NAMESPACE_ID: o ID exclusivo do namespace. O ID precisa ter entre 2 e 63 caracteres, conter apenas caracteres alfanuméricos minúsculos e traços, além de começar e terminar com um caractere alfanumérico. Depois de criar um namespace, não será possível alterar o ID dele.
  • POOL_ID: o ID do pool de Identidade da carga de trabalho que você criou anteriormente.

Criar uma identidade de carga de trabalho gerenciada

O comando workload-identity-pools managed-identities create permite criar uma identidade de carga de trabalho gerenciada em um namespace de pool de Identidade da carga de trabalho.

gcloud iam workload-identity-pools managed-identities create MANAGED_IDENTITY_ID \
    --namespace="NAMESPACE_ID" \
    --workload-identity-pool="POOL_ID" \
    --location="global"

Substitua:

  • MANAGED_IDENTITY_ID: o ID exclusivo da identidade gerenciada. O ID precisa ter entre 2 e 63 caracteres, conter apenas caracteres alfanuméricos minúsculos e traços, além de começar e terminar com um caractere alfanumérico. Depois de criar uma identidade de carga de trabalho gerenciada, não é possível alterar o ID dela.
  • NAMESPACE_ID: o ID do namespace que você criou anteriormente.
  • POOL_ID: o ID do pool de Identidade da carga de trabalho que você criou anteriormente.

O ID da identidade da carga de trabalho gerenciada é o identificador SPIFFE, que tem o seguinte formato:

spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID

Definir uma política de atestado da carga de trabalho

Nesta seção, descrevemos como configurar uma política de atestado. Essa política determina quais atributos são usados pelo Google Cloud IAM para verificar a identidade da carga de trabalho. Após a verificação, a carga de trabalho de chamada pode receber uma credencial.

A verificação se baseia em um dos seguintes atributos da carga de trabalho:

  • ID da instância de VM
  • Endereço de e-mail da conta de serviço anexada
  • UID da conta de serviço anexada

Definir uma política de atestado de carga de trabalho com regras de atestado

Para criar uma política de atestado que permita que sua carga de trabalho use a identidade gerenciada, faça o seguinte:

  1. Decida se você quer criar uma política de atestado que permita que sua carga de trabalho ateste a identidade gerenciada usando a conta de serviço anexada ou o ID da instância.

  2. Crie um arquivo de política de atestado no formato JSON.

    1. Opcional: para receber credenciais X.509 na instância do Compute Engine, ative uma conta de serviço anexada. Recomendamos que você anexe uma nova conta de serviço à sua carga de trabalho. Primeiro, crie uma usando o seguinte comando:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Substitua SERVICE_ACCOUNT_NAME pelo nome da conta de serviço.

    2. Crie um arquivo de política de atestado no formato JSON que ateste com base no endereço de e-mail da conta de serviço, no UID da conta de serviço ou no ID da instância.

      Endereço de e-mail da conta de serviço

      Para criar um arquivo de política de atestado com base no endereço de e-mail da conta de serviço, crie um arquivo com o seguinte conteúdo:

      {
   "attestationRules": [
      {
         "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.email/SERVICE_ACCOUNT_EMAIL"
      }
   ],
}

      Substitua:

      • WORKLOAD_PROJECT_NUMBER: o número do projeto que contém a instância de VM ou a conta de serviço.

      Para saber o número do projeto que contém a identidade gerenciada ou a conta de serviço recém-criada, execute o seguinte comando:

         gcloud projects describe $(gcloud config get-value project) \
      --format="value(projectNumber)"
      • SERVICE_ACCOUNT_EMAIL: o endereço de e-mail da conta de serviço anexada à VM

      UID da conta de serviço

      Para criar um arquivo de política de atestado que ateste com base no UID da conta de serviço, crie um arquivo com o seguinte conteúdo:

      {
   "attestationRules": [
      {
         "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID"
      }
   ],
}

      Substitua:

      • WORKLOAD_PROJECT_NUMBER: o número do projeto que contém a instância de VM ou a conta de serviço.

      Para receber o número do projeto que contém a identidade gerenciada ou a conta de serviço que você acabou de criar, execute o seguinte comando:

         gcloud projects describe $(gcloud config get-value project) \
      --format="value(projectNumber)"
      • SERVICE_ACCOUNT_UID: o UID da conta de serviço anexada à VM.

      Para acessar o ID exclusivo da conta de serviço, execute o seguinte comando:

         gcloud iam service-accounts describe SERVICE_ACCOUNT_EMAIL\
      --format="value(uniqueId)"

      ID da instância

      Para criar um arquivo de política de atestado que ateste com base no ID da instância, crie um arquivo com o seguinte conteúdo:

      {
   "attestationRules": [
      {
         "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/uid/zones/ZONE/instances/INSTANCE_ID"
      }
   ],
}

      Substitua:

      • WORKLOAD_PROJECT_NUMBER: o número do projeto que contém a instância de VM ou a conta de serviço.

      Para saber o número do projeto que contém a identidade gerenciada ou a conta de serviço recém-criada, execute o seguinte comando:

         gcloud projects describe $(gcloud config get-value project) \
      --format="value(projectNumber)"
      • INSTANCE_ID: o ID da instância de VM do Compute Engine

      O valor de um ID de instância precisa vir de uma instância do Compute Engine. Para receber o ID da instância, execute o comando a seguir:

      gcloud compute instances describe INSTANCE_NAME --zone=ZONE --format="get(id)"
      • INSTANCE_NAME: o nome da instância de VM do Compute Engine
      • ZONE: a zona da VM do Compute Engine.

  3. Crie a política de atestado usando o arquivo JSON de política que você criou anteriormente neste documento:

    gcloud iam workload-identity-pools managed-identities set-attestation-rules MANAGED_IDENTITY_ID \
   --namespace=NAMESPACE_ID \
   --workload-identity-pool=POOL_ID \
   --policy-file=PATH_TO_POLICY_JSON_FILE \
   --location=global

    Substitua:

    • MANAGED_IDENTITY_ID: o ID exclusivo da identidade gerenciada. O ID precisa ter entre 2 e 63 caracteres, conter apenas caracteres alfanuméricos minúsculos e traços, além de começar e terminar com um caractere alfanumérico. Depois de criar uma identidade de carga de trabalho gerenciada, não é possível alterar o ID dela.
    • NAMESPACE_ID: o ID do namespace que você criou anteriormente.
    • POOL_ID: o ID do pool de Identidade da carga de trabalho que você criou anteriormente.
    • PATH_TO_POLICY_JSON_FILE: caminho para o arquivo JSON que representa a política de atestado criada anteriormente.

    Também é possível atualizar a política adicionando ou removendo regras de atestado individualmente. Para adicionar um atestado à sua política, execute o comando a seguir:

    gcloud iam workload-identity-pools managed-identities add-attestation-rule MANAGED_IDENTITY_ID \
   --namespace=NAMESPACE_ID \
   --workload-identity-pool=POOL_ID \
   --google-cloud-resource='//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID' \
   --location=global

  4. Para saber como listar ou remover as regras de atestado, execute os seguintes comandos:

    gcloud iam workload-identity-pools managed-identities list-attestation-rules --help
gcloud iam workload-identity-pools managed-identities remove-attestation-rule --help

Opcional: ativar a federação de confiança entre pools de identidades da carga de trabalho

Para ativar a autenticação mútua para cargas de trabalho em diferentes domínios de confiança, configure a federação de confiança.

  1. Crie um arquivo trust-config.yaml com o seguinte conteúdo:

    inlineTrustConfig:
additionalTrustBundles:
  POOL_ID.global.PROJECT_NUMBER.workload.id.goog:
     trustAnchors:
     - pemCertificate: "-----BEGIN CERTIFICATE-----\nPEM_ENCODED_CERTIFICATE\n-----END CERTIFICATE-----"

    Substitua o seguinte no arquivo:

    • POOL_ID: o ID do pool de identidades da carga de trabalho com que você quer federar.
    • PROJECT_NUMBER: o número do projeto do pool de identidades da carga de trabalho com que você quer federar.
    • PEM_ENCODED_CERTIFICATE: o certificado de CA raiz codificado em PEM do pool de Identidade da carga de trabalho com que você quer federar.

  2. Para atualizar o pool de identidades da carga de trabalho com a configuração de confiança, execute o seguinte comando:

    gcloud iam workload-identity-pools update POOL_ID \
  --location="global" \
  --inline-trust-config-file=TRUST_CONFIG_FILE

    Substitua:

    • POOL_ID: o ID exclusivo do pool.
    • TRUST_CONFIG_FILE: o caminho para o arquivo trust-config.yaml.

A seguir

Faça um teste

Se você começou a usar o Google Cloudagora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também ganham US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Comece a usar sem custo financeiro