Gestione delle identità per Google Cloud

Per utilizzare Google Cloud, utenti, workload e agenti hanno bisogno di un'identità cheGoogle Cloud possa riconoscere.

Questa pagina descrive i metodi che puoi utilizzare per configurare le identità per utenti, workload e agenti.

Identità utente

Esistono diversi modi per configurare le identità utente in modo che Google Cloud possa riconoscerle:

  • Crea account Cloud Identity o Google Workspace: gli utenti con account Cloud Identity o Google Workspace possono autenticarsi per Google Cloud e ricevere l'autorizzazione per utilizzare Google Cloud le risorse. Gli account Cloud Identity e Google Workspace sono account utente gestiti dalla tua organizzazione.
  • Configura una delle seguenti strategie di identità federata:

    • Federazione tramite Cloud Identity o Google Workspace: sincronizza le identità esterne con gli account Cloud Identity o Google Workspace corrispondenti in modo che gli utenti possano accedere ai servizi Google con le proprie credenziali esterne. Con questo metodo, gli utenti hanno bisogno di due account: un account esterno e un account Cloud Identity o Google Workspace. Puoi mantenere sincronizzati questi account utilizzando uno strumento come Google Cloud Directory Sync (GCDS).
    • Federazione delle identità per la forza lavoro: utilizza il tuo provider di identità (IdP) esterno per consentire agli utenti di accedere a Google Cloud e di accedere a risorse e prodottiGoogle Cloud . Con la federazione delle identità per la forza lavoro, gli utenti hanno bisogno di un solo account: il loro account esterno. Questo tipo di identità utente è talvolta definito identità federata.

Per saperne di più su questi metodi di configurazione delle identità utente, consulta la Panoramica delle identità utente.

Identità di workload

Google Cloud fornisce i seguenti tipi di servizi di identità per i workload:

  • La federazione delle identità per i workload consente ai tuoi workload di accedere alla maggior parte dei servizi Google Cloud utilizzando un'identità fornita da un IdP. I workload che utilizzano la federazione delle identità per i workload possono essere eseguiti su Google Cloud, Google Kubernetes Engine (GKE) o altre piattaforme, come AWS, Azure e GitHub.

  • Gli Google Cloud service account possono fungere da identità per i workload. Anziché concedere l'accesso direttamente a un carico di lavoro, concedi l'accesso a un account di servizio e poi fai in modo che il carico di lavoro utilizzi il service account come identità.

  • Le identità dei workload gestite consentono di associare identità con attestazione forte ai workload di Compute Engine. Puoi utilizzare le Workload Identity gestite per autenticare i tuoi workload con altri workload utilizzando mutual TLS (mTLS), ma non possono essere utilizzate per l'autenticazione alle API Google Cloud .

I metodi che puoi utilizzare dipendono da dove vengono eseguiti i carichi di lavoro.

Se esegui workload su Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità del workload:

  • Workload Identity Federation for GKE: concedi l'accesso a Identity and Access Management (IAM) a cluster GKE e service account Kubernetes. In questo modo, i carichi di lavoro dei cluster possono accedere direttamente alla maggior parte dei servizi, senza utilizzare la simulazione dell'identità dei account di servizio IAM. Google Cloud

  • Service account collegati: collega un account di servizio a una risorsa in modo che il account di servizio funga da identità predefinita della risorsa. Tutti i carichi di lavoro in esecuzione sulla risorsa utilizzano l'identità del account di servizio per accedere ai serviziGoogle Cloud .

  • Credenziali dell'account di servizio di breve durata: genera e utilizza credenziali dell'account di servizio di breve durata ogni volta che le tue risorse devono accedere ai serviziGoogle Cloud . I tipi più comuni di credenziali sono token di accesso OAuth 2.0 e token ID OpenID Connect (OIDC).

Se esegui workload al di fuori di Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità del workload:

  • Federazione delle identità per i workload: utilizza le credenziali di fornitori di identità esterni per generare credenziali di breve durata, che i workload possono utilizzare per impersonare temporaneamente i service account. I carichi di lavoro possono quindi accedere alle risorseGoogle Cloud utilizzando il account di servizio come identità.
  • Chiavi del service account: utilizza la parte privata di una coppia di chiave RSA pubbliche/private di un account di servizio per autenticarti come account di servizio.

Per scoprire di più su questi metodi di configurazione delle identità dei workload, consulta Panoramica delle identità dei workload.

Identità dell'agente

Google Cloud fornisce identità dell'agente per gli agenti di AI generativa. Un'identità dell'agente è un'identità basata su SPIFFE collegata al ciclo di vita di un agente e mappata direttamente all'URI della risorsa in cui è ospitato l'agente. L'agente utilizza questa identità per autenticarsi ai servizi Google Cloudo recuperare le credenziali esterne dal gestore di autenticazione dell'identità dell'agente.

Per saperne di più sulla configurazione delle identità degli agenti, consulta la panoramica dell'identità dell'agente.