有了受管理的工作負載身分,您就能將經過嚴格驗證的身分繫結至 Google Kubernetes Engine (GKE) 和 Compute Engine 工作負載。這也包括專為代理工作負載設計的代理身分。
Google Cloud 佈建憑證授權單位服務核發的 X.509 憑證和信任錨點。憑證和信任錨點可用於透過相互傳輸層安全標準 (mTLS) 驗證,以可靠的方式驗證工作負載與其他工作負載之間的關係。
預先發布版提供下列功能:
- GKE 的代管型 Workload Identity
- Compute Engine 的代管工作負載身分
- 要求存取 Compute Engine 的受管理工作負載身分
- 服務專員身分
SPIFFE 互通性
為確保動態異質環境的互通性,受管理的工作負載身分是以 Secure Production Identity Framework For Everyone (SPIFFE) 為基礎。SPIFFE 定義了架構和一組標準,用於識別、驗證工作負載,以及確保工作負載之間的通訊安全。SPIFFE 工作負載是由專屬的 SPIFFE ID 識別。在 Google Cloud中,SPIFFE ID 的格式如下:
Compute Engine 工作負載:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE 工作負載:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT代理程式身分工作負載:
spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME
資源階層
本節說明受管理的工作負載身分識別資源。
Workload Identity 集區
受管理的工作負載身分是在工作負載身分集區中定義,該集區會做為集區內所有身分的信任界線。工作負載身分集區會構成受管理工作負載身分 SPIFFE ID 的信任網域元件。建議您為機構中的每個邏輯環境 (例如開發、測試或實際工作環境) 建立新的集區。
命名空間
在 workload identity pool 中,受管理的工作負載身分會整理成稱為「命名空間」的管理邊界。命名空間可協助您整理及授予相關工作負載身分的存取權。
認證政策
如要使用 Compute Engine 的受管理工作負載身分,必須設定驗證政策。
GKE 的代管型 Workload Identity 會為您管理驗證政策。
您可以透過工作負載驗證政策,根據工作負載的可驗證屬性 (例如專案 ID 或資源名稱),定義可為受管理工作負載身分核發憑證的工作負載。工作負載認證政策可確保只有受信任的工作負載可以使用代管身分。