כדי להשתמש ב- Google Cloud, משתמשים ועומסי עבודה צריכים זהות שמערכתGoogle Cloud יכולה לזהות.
בדף הזה מפורטות השיטות שבהן אפשר להגדיר זהויות למשתמשים ולעומסי עבודה.
זהויות משתמשים
יש כמה דרכים להגדיר זהויות משתמשים כדי ש- Google Cloudיוכל לזהות אותן:
- יצירת חשבונות Cloud Identity או Google Workspace: משתמשים עם חשבונות Cloud Identity או Google Workspace יכולים לעבור אימות ב- Google Cloud ולקבל הרשאה להשתמש במשאבים של Google Cloud . חשבונות Cloud Identity ו-Google Workspace הם חשבונות משתמשים שמנוהלים על ידי הארגון שלכם.
מגדירים אחת מהאסטרטגיות הבאות לזהויות מאוחדות:
- איחוד באמצעות Cloud Identity או Google Workspace: סנכרון זהויות חיצוניות עם חשבונות תואמים ב-Cloud Identity או ב-Google Workspace, כדי שהמשתמשים יוכלו להיכנס לשירותי Google באמצעות פרטי הכניסה החיצוניים שלהם. בשיטה הזו, המשתמשים צריכים שני חשבונות: חשבון חיצוני וחשבון Cloud Identity או Google Workspace. אפשר לסנכרן את החשבונות האלה באמצעות כלי כמו Google Cloud Directory Sync (GCDS).
- איחוד שירותי אימות הזהות של כוח עבודה: אתם יכולים להשתמש בספק זהויות חיצוני (IdP) כדי לאפשר למשתמשים להיכנס ל- Google Cloud ולגשת למשאבים ולמוצרים שלGoogle Cloud . עם איחוד שירותי אימות הזהות של כוח העבודה, המשתמשים צריכים רק חשבון אחד: החשבון החיצוני שלהם. סוג הזהות של המשתמש נקרא לפעמים זהות מאוחדת.
מידע נוסף על השיטות האלה להגדרת זהויות משתמשים זמין במאמר סקירה כללית על זהויות משתמשים.
זהויות של עומסי עבודה
Google Cloud מספק את סוגי שירותי הזהויות הבאים לעומסי עבודה:
איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לעומסי העבודה שלכם לגשת לרוב שירותי Google Cloud באמצעות זהות שמסופקת על ידי IdP. עומסי עבודה שמשתמשים ב-Workload Identity Federation יכולים לפעול ב- Google Cloud, ב-Google Kubernetes Engine (GKE) או בפלטפורמות אחרות כמו AWS, Azure ו-GitHub.
Google Cloud חשבונות שירות יכולים לשמש כזהויות לעומסי עבודה. במקום לתת גישה ישירות לעומס עבודה, נותנים גישה לחשבון שירות, ואז מאפשרים לעומס העבודה להשתמש בחשבון השירות כזהות שלו.
זהויות מנוהלות של עומסי עבודה (תצוגה מקדימה) מאפשרות לכם לקשר זהויות עם אימות חזק לעומסי העבודה שלכם ב-Compute Engine. אתם יכולים להשתמש בזהויות מנוהלות של עומסי עבודה כדי לאמת את עומסי העבודה שלכם לעומסי עבודה אחרים באמצעות TLS בו-זמני (mTLS), אבל אי אפשר להשתמש בהן לאימות ל- Google Cloud APIs.
השיטות שבהן אפשר להשתמש תלויות במקום שבו מריצים את עומסי העבודה.
אם אתם מריצים עומסי עבודה ב- Google Cloud, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות של עומסי עבודה:
איחוד זהויות של עומסי עבודה ל-GKE: מתן גישת IAM לאשכולות GKE ולחשבונות שירות של Kubernetes. כך עומסי העבודה באשכולות יכולים לגשת ישירות לרוב השירותים של Google Cloud , בלי להשתמש בהתחזות לחשבון שירות ב-IAM.
חשבונות שירות מצורפים: צירוף חשבון שירות למשאב כדי שחשבון השירות ישמש כזהות ברירת המחדל של המשאב. כל עומסי העבודה (workloads) שפועלים במשאב משתמשים בזהות של חשבון השירות כשהם ניגשים לשירותים שלGoogle Cloud .
פרטי כניסה לטווח קצר של חשבונות שירות: כדאי ליצור ולהשתמש בפרטי כניסה לטווח קצר של חשבונות שירות בכל פעם שהמשאבים שלכם צריכים לגשת לשירותיGoogle Cloud . הסוגים הנפוצים ביותר של פרטי כניסה הם אסימוני גישה מסוג OAuth 2.0 ואסימונים מזהים מסוג OpenID Connect (OIDC).
אם אתם מריצים עומסי עבודה מחוץ ל- Google Cloud, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות של עומסי עבודה:
- איחוד שירותי אימות הזהות של עומסי עבודה: שימוש בפרטי כניסה מספקי זהויות חיצוניים כדי ליצור פרטי כניסה לטווח קצר, שעומסי עבודה יכולים להשתמש בהם כדי להתחזות זמנית לחשבונות שירות. עומסי העבודה יכולים לגשת למשאביםGoogle Cloud באמצעות חשבון השירות בתור הזהות שלהם.
מפתחות של חשבונות שירות: משתמשים בחלק הפרטי של זוג מפתחות RSA ציבוריים או פרטיים של חשבון שירות כדי לבצע אימות כחשבון השירות.
מידע נוסף על השיטות האלה להגדרת זהויות של עומסי עבודה זמין במאמר סקירה כללית על זהויות של עומסי עבודה.