Le identità dei workload gestite consentono di associare identità con attestazione rigorosa ai tuoi carichi di lavoro di Google Kubernetes Engine (GKE) e Compute Engine.
Google Cloud esegue il provisioning delle credenziali X.509 e dei trust anchor emessi da Certificate Authority Service. Le credenziali e gli ancoraggi attendibili possono essere utilizzati per autenticare in modo affidabile il tuo workload con altri workload tramite l'autenticazione TLS reciproca (mTLS).
Le identità dei workload gestite per GKE sono disponibili in anteprima. Le Workload Identity gestite per Compute Engine sono disponibili in anteprima, su richiesta. Richiedi l'accesso all'anteprima delle Workload Identity gestite per Compute Engine.
Interoperabilità SPIFFE
Per consentire l'interoperabilità in ambienti dinamici ed eterogenei, le identità dei workload gestite si basano su Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE definisce un framework e un insieme di standard per identificare, autenticare e proteggere le comunicazioni tra i workload. I workload SPIFFE sono identificati da un ID SPIFFE univoco. In Google Cloud, un ID SPIFFE ha i seguenti formati:
Workload di Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCarichi di lavoro GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Gerarchia delle risorse
Questa sezione descrive le risorse dell'identità dei workload gestita.
Pool di identità del workload
Le identità del workload gestite sono definite all'interno di un pool di identità del workload, che funge da limite di trust per tutte le identità all'interno del pool. Il pool di identità del workload forma il componente del dominio di attendibilità dell'identificatore SPIFFE di Workload Identity gestita. Ti consigliamo di creare un nuovo pool per ogni ambiente logico della tua organizzazione, ad esempio sviluppo, staging o produzione.
Spazi dei nomi
All'interno di un pool di identità del workload, le identità del workload gestite sono organizzate in limiti amministrativi chiamati spazi dei nomi. Gli spazi dei nomi ti aiutano a organizzare e concedere l'accesso alle identità dei workload correlate.
Policy di attestazione
L'identità del workload gestita per Compute Engine richiede la configurazione delle policy di attestazione.
Workload Identity gestita per GKE gestisce le policy di attestazione per te.
I criteri di attestazione dei workload consentono di definire a quale workload può essere rilasciata una credenziale per un'identità dei workload gestita in base agli attributi verificabili del workload, come l'ID progetto o il nome della risorsa. Un criterio di attestazione del workload garantisce che solo i workload attendibili possano utilizzare l'identità gestita.
Passaggi successivi
Configura l'autenticazione di Workload Identity gestita per Compute Engine.
Configura l'autenticazione delle identità dei workload gestite per GKE.
Scopri di più sull'utilizzo delle identità dei workload gestite con i workload di Compute Engine.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente