Pengelolaan identitas untuk Google Cloud

Untuk menggunakan Google Cloud, pengguna dan beban kerja memerlukan identitas yang dapat dikenali olehGoogle Cloud .

Halaman ini menguraikan metode yang dapat Anda gunakan untuk mengonfigurasi identitas bagi pengguna dan beban kerja.

Identitas Pengguna

Ada beberapa cara untuk mengonfigurasi identitas pengguna agar Google Cloud dapat mengenalinya:

Membuat akun Cloud Identity atau Google Workspace: Pengguna dengan akun Cloud Identity atau Google Workspace dapat melakukan autentikasi ke Google Cloud dan diizinkan untuk menggunakan resource Google Cloud . Akun Cloud Identity dan Google Workspace adalah akun pengguna yang dikelola oleh organisasi Anda.

Siapkan salah satu strategi identitas gabungan berikut:
- Federasi menggunakan Cloud Identity atau Google Workspace: Menyinkronkan identitas eksternal dengan akun Cloud Identity atau Google Workspace yang sesuai sehingga pengguna dapat login ke layanan Google dengan kredensial eksternal mereka. Dengan metode ini, pengguna memerlukan dua akun: akun eksternal, dan akun Cloud Identity atau Google Workspace. Anda dapat terus menyinkronkan akun ini menggunakan alat seperti Google Cloud Directory Sync (GCDS).
- Workforce Identity Federation: Gunakan penyedia identitas (IdP) eksternal Anda untuk membuat pengguna Anda login ke Google Cloud dan mengizinkan mereka mengakses Google Cloud resource dan produk. Dengan Penggabungan Identitas Tenaga Kerja, pengguna hanya memerlukan satu akun: akun eksternal mereka. Jenis identitas pengguna ini terkadang disebut sebagai identitas gabungan.

Untuk mempelajari lebih lanjut metode ini untuk menyiapkan identitas pengguna, lihat Ringkasan identitas pengguna.

Google Cloud menyediakan jenis layanan identitas berikut untuk workload:

Workload Identity Federation memungkinkan beban kerja Anda mengakses sebagian besar layanan Google Cloud dengan menggunakan identitas yang disediakan oleh IdP. Workload yang menggunakan Workload Identity Federation dapat berjalan di Google Cloud, Google Kubernetes Engine (GKE), atau platform lain, seperti AWS, Azure, dan GitHub.
Google Cloud Akun layanan dapat bertindak sebagai identitas untuk workload. Alih-alih memberikan akses ke beban kerja secara langsung, Anda memberikan akses ke akun layanan, lalu membiarkan beban kerja menggunakan akun layanan sebagai identitasnya.
Identitas workload terkelola memungkinkan Anda mengikat identitas yang dibuktikan secara kuat ke beban kerja Compute Engine. Anda dapat menggunakan identitas beban kerja terkelola untuk mengautentikasi beban kerja ke beban kerja lain menggunakan mutual TLS (mTLS), tetapi identitas tersebut tidak dapat digunakan untuk mengautentikasi ke API Google Cloud .

Metode yang dapat Anda gunakan bergantung pada tempat workload Anda berjalan.

Jika menjalankan workload di Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload:

Workload Identity Federation for GKE: Berikan akses IAM ke cluster GKE dan akun layanan Kubernetes. Dengan begitu, workload cluster dapat mengakses sebagian besar layanan Google Cloud secara langsung, tanpa menggunakan peniruan identitas akun layanan IAM.
Akun layanan terpasang: Menambahkan akun layanan ke resource sehingga akun layanan bertindak sebagai identitas default resource. Setiap beban kerja yang berjalan di resource menggunakan identitas akun layanan saat mengakses layananGoogle Cloud .
Kredensial akun layanan berjangka pendek: Buat dan gunakan kredensial akun layanan berjangka pendek setiap kali resource Anda perlu mengakses layananGoogle Cloud . Jenis kredensial yang paling umum adalah token akses OAuth 2.0 dan token ID OpenID Connect (OIDC).

Jika menjalankan workload di luar Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload:

Workload Identity Federation: Gunakan kredensial dari penyedia identitas eksternal untuk menghasilkan kredensial berumur pendek, yang dapat digunakan beban kerja untuk meniru akun layanan sementara. Selanjutnya, beban kerja dapat mengakses resourceGoogle Cloud , menggunakan akun layanan sebagai identitasnya.
Kunci akun layanan: Menggunakan bagian pribadi dari pasangan kunci RSA publik/pribadi akun layanan untuk mengautentikasi sebagai akun layanan.

Penting: Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus mengautentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan atas operasi lain yang dijelaskan dalam Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.
Jika Anda mendapatkan kunci akun layanan dari sumber eksternal, Anda harus memvalidasinya sebelum digunakan. Untuk mengetahui informasi selengkapnya, lihat Persyaratan keamanan untuk kredensial yang bersumber dari luar.

Untuk mempelajari lebih lanjut metode penyiapan identitas beban kerja, lihat Ringkasan identitas beban kerja.