Gestione delle identità per Google Cloud

Per utilizzare Google Cloud, utenti e workload hanno bisogno di un'identità cheGoogle Cloud possa riconoscere.

Questa pagina descrive i metodi che puoi utilizzare per configurare le identità per utenti e workload.

Identità utente

Esistono diversi modi per configurare le identità utente in modo che Google Cloud possa riconoscerle:

Crea account Cloud Identity o Google Workspace: gli utenti con account Cloud Identity o Google Workspace possono autenticarsi per Google Cloud e sono autorizzati a utilizzare Google Cloud le risorse. Gli account Cloud Identity e Google Workspace sono account utente gestiti dalla tua organizzazione.

Configura una delle seguenti strategie di identità federata:
- Federazione tramite Cloud Identity o Google Workspace: sincronizza le identità esterne con gli account Cloud Identity o Google Workspace corrispondenti in modo che gli utenti possano accedere ai servizi Google con le proprie credenziali esterne. Con questo metodo, gli utenti hanno bisogno di due account: un account esterno e un account Cloud Identity o Google Workspace. Puoi mantenere sincronizzati questi account utilizzando uno strumento come Google Cloud Directory Sync (GCDS).
- Federazione delle identità per la forza lavoro: utilizza il tuo provider di identità (IdP) esterno per consentire ai tuoi utenti di accedere a Google Cloud e di accedere a risorse e prodottiGoogle Cloud . Con la federazione delle identità per la forza lavoro, gli utenti hanno bisogno di un solo account: il loro account esterno. Questo tipo di identità utente è talvolta definito identità federata.

Per scoprire di più su questi metodi di configurazione delle identità utente, consulta la Panoramica delle identità utente.

Google Cloud fornisce i seguenti tipi di servizi di identità per i workload:

La federazione delle identità per i carichi di lavoro consente ai tuoi carichi di lavoro di accedere alla maggior parte dei servizi Google Cloud utilizzando un'identità fornita da un IdP. I workload che utilizzano Workload Identity Federation possono essere eseguiti su Google Cloud, Google Kubernetes Engine (GKE) o altre piattaforme, come AWS, Azure e GitHub.
Gli Google Cloud service account possono fungere da identità per i workload. Anziché concedere l'accesso direttamente a un carico di lavoro, concedi l'accesso a un account di servizio, quindi consenti al carico di lavoro di utilizzare il service account come identità.
Le identità dei workload gestite consentono di associare identità con attestazione forte ai workload di Compute Engine. Puoi utilizzare le Workload Identity gestite per autenticare i tuoi workload con altri workload utilizzando mutual TLS (mTLS), ma non possono essere utilizzate per l'autenticazione alle API Google Cloud .

I metodi che puoi utilizzare dipendono dalla posizione in cui vengono eseguiti i carichi di lavoro.

Se esegui workload su Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità del workload:

Workload Identity Federation for GKE: concedi l'accesso IAM a cluster GKE e service account Kubernetes. In questo modo, i carichi di lavoro dei cluster possono accedere direttamente alla maggior parte dei servizi, senza utilizzare la rappresentazione dell'identità del account di servizio IAM. Google Cloud
Service account collegati: collega un account di servizio a una risorsa in modo che il account di servizio funga da identità predefinita della risorsa. Tutti i carichi di lavoro in esecuzione sulla risorsa utilizzano l'identità del account di servizio quando accedono ai serviziGoogle Cloud .
Credenziali dell'account di servizio di breve durata: genera e utilizza credenziali dell'account di servizio di breve durata ogni volta che le tue risorse devono accedere ai serviziGoogle Cloud . I tipi più comuni di credenziali sono token di accesso OAuth 2.0 e token ID OpenID Connect (OIDC).

Se esegui workload al di fuori di Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità del workload:

Federazione delle identità per i workload: utilizza le credenziali di fornitori di identità esterni per generare credenziali di breve durata, che i workload possono utilizzare per impersonare temporaneamente i service account. I carichi di lavoro possono quindi accedere alle risorseGoogle Cloud utilizzando il account di servizio come identità.
Chiavi del service account: utilizza la parte privata di una coppia di chiave RSA pubblica/privata di un account di servizio account per autenticarti come account di servizio.

Importante :le chiavi dei service account comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi del service account quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte in Best practice per la gestione delle chiavi dei service account. Se non riesci a creare una chiave del service account, la creazione di chiavi del service account potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, vedi Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.
Se hai acquisito la chiave del service account da una fonte esterna, devi convalidarla prima dell'utilizzo. Per maggiori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.

Per scoprire di più su questi metodi di configurazione delle identità dei workload, consulta Panoramica delle identità dei workload.