Para usar Google Cloud, los usuarios, las cargas de trabajo y los agentes necesitan una identidad que Google Cloud pueda reconocer.
En esta página, se describen los métodos que puedes usar para configurar identidades de los usuarios, las cargas de trabajo y los agentes.
Identidades de usuario
Existen varias formas de configurar las identidades de los usuarios para que Google Cloud pueda reconocerlas:
- Crea cuentas de Cloud Identity o Google Workspace: Los usuarios con cuentas de Cloud Identity o Google Workspace pueden autenticarse en Google Cloud y tener autorización para usar los recursos de Google Cloud . Las cuentas de Cloud Identity y Google Workspace son cuentas de usuario que administra tu organización.
Configura una de las siguientes estrategias de identidad federada:
- Federación con Cloud Identity o Google Workspace: Sincroniza las identidades externas con las cuentas de Cloud Identity o Google Workspace correspondientes para que los usuarios puedan acceder a los servicios de Google con sus credenciales externas. Con este método, los usuarios necesitan dos cuentas: una externa y una de Cloud Identity o de Google Workspace. Puedes mantener estas cuentas sincronizadas con una herramienta como Google Cloud Directory Sync (GCDS).
- Federación de identidades de personal: Usa tu proveedor de identidad externo (IdP) para que tus usuarios accedan a Google Cloud y a los Google Cloud recursos y productos. Con la federación de identidades de personal, los usuarios solo necesitan una cuenta: su cuenta externa. Este tipo de identidad de usuario a veces se denomina identidad federada.
Si quieres obtener más información sobre estos métodos para configurar identidades de usuario, consulta la Descripción general de las identidades de usuario.
Identidades de cargas de trabajo
Google Cloud proporciona los siguientes tipos de servicios de identidad para las cargas de trabajo:
La federación de identidades para cargas de trabajo Google Cloud permite que tus cargas de trabajo accedan a la mayoría de los servicios mediante una identidad que proporciona un IdP. Las cargas de trabajo que usan la federación de identidades para cargas de trabajo se pueden ejecutar en Google Cloud, Google Kubernetes Engine (GKE) o en otras plataformas, como AWS, Azure y GitHub.
Google Cloud Las**cuentas de servicio** pueden actuar como identidades para las cargas de trabajo. En lugar de otorgar acceso a una carga de trabajo directamente, debes hacerlo a una cuenta de servicio y, luego, permitir que la carga de trabajo use la cuenta de servicio como su identidad.
Las identidades de cargas de trabajo administradas te permiten vincular identidades certificadas a tus cargas de trabajo de Compute Engine. Puedes usar identidades para cargas de trabajo administradas para autenticar tus cargas de trabajo en otras cargas de trabajo a través de TLS mutua (mTLS), pero no se pueden usar para autenticar en las Google Cloud APIs.
Los métodos que puedes usar dependen de dónde se ejecutan tus cargas de trabajo.
Si ejecutas cargas de trabajo en Google Cloud, puedes usar los siguientes métodos para configurar identidades de carga de trabajo:
Workload Identity Federation for GKE: Otorga acceso de Identity and Access Management (IAM) a los clústeres de GKE y a las cuentas de servicio de Kubernetes. De esta manera, las cargas de trabajo de los clústeres pueden acceder a la mayoría de los Google Cloud servicios directamente, sin usar la identidad temporal como cuenta de servicio de IAM.
Cuentas de servicio conectadas: Conecta una cuenta de servicio a un recurso para que la cuenta de servicio actúe como la identidad predeterminada del recurso. Cualquier carga de trabajo que se ejecute en el recurso usa la identidad de la cuenta de servicio cuando accede a los Google Cloud servicios.
Credenciales de la cuenta de servicio de corta duración: Genera y usa credenciales de cuentas de servicio de corta duración cada vez que tus recursos necesiten acceder a los servicios.Google Cloud Los tipos de credenciales más comunes son los tokens de acceso de OAuth 2.0 y los tokens de ID de OpenID Connect (OIDC).
Si ejecutas cargas de trabajo fuera de Google Cloud, puedes usar los siguientes métodos para configurar identidades de carga de trabajo:
- Federación de identidades para cargas de trabajo: Usa credenciales de proveedores de identidad externos para generar credenciales de corta duración, que las cargas de trabajo pueden usar a fin de usar la identidad cuentas de servicio de forma temporal. Luego, las cargas de trabajo pueden acceder a Google Cloud los recursos mediante la cuenta de servicio como su identidad.
Claves de cuenta de servicio: Usa la parte privada de un par de clave RSA públicas/privadas de una cuenta de servicio para autenticarte como la cuenta de servicio.
Si deseas obtener más información sobre estos métodos para configurar identidades de cargas de trabajo, consulta Descripción general de las identidades de cargas de trabajo.
Identidades de los agentes
Google Cloud proporciona identidades de agentes para agentes de IA generativa. Una identidad de agente es una identidad basada en SPIFFE que está vinculada al ciclo de vida de un agente y se asigna directamente al URI del recurso en el que se aloja el agente. El agente usa esta identidad para autenticarse en los Google Cloud servicios o recuperar credenciales externas del administrador de autenticación de identidad de agente.
Para obtener más información sobre la configuración de identidades de agentes, consulta Descripción general de la identidad de agentes.