Le identità dei workload gestite consentono di associare identità con attestazione forte ai workload di Google Kubernetes Engine (GKE) e Compute Engine. Sono incluse anche le identità degli agenti, progettate per workload agentici.
Google Cloud esegue il provisioning delle credenziali X.509 e dei trust anchor emessi da Certificate Authority Service. Le credenziali e i trust anchor possono essere utilizzati per autenticare in modo affidabile il tuo workload quando comunica con altri workload tramite l'autenticazione mutual TLS (mTLS).
Sono disponibili le seguenti funzionalità:
- Identità dei workload gestite per GKE (anteprima)
- Identità dei workload gestite per Compute Engine (anteprima)
- Richiedi l'accesso alle identità dei workload gestite per Compute Engine (anteprima)
- Identità degli agenti
Interoperabilità SPIFFE
Per consentire l'interoperabilità tra ambienti dinamici ed eterogenei, le identità dei workload gestite si basano su Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE definisce un framework e un insieme di standard per identificare, autenticare e proteggere le comunicazioni tra i workload. I workload SPIFFE sono identificati da un ID SPIFFE univoco. In Google Cloud, un ID SPIFFE ha i seguenti formati:
Workload di Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDWorkload di GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNTWorkload di identità dell'agente:
spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME
Gerarchia delle risorse
Questa sezione descrive le risorse di identità dei workload gestite.
Pool di identità dei workload
Le identità dei workload gestite sono definite all'interno di un pool di identità dei workload, che funge da limite di attendibilità per tutte le identità all'interno del pool. Il pool di identità dei workload forma il componente del dominio attendibile dell'identificatore SPIFFE dell'identità dei workload gestita. Ti consigliamo di creare un nuovo pool per ogni ambiente logico della tua organizzazione, ad esempio sviluppo, staging o produzione.
Spazi dei nomi
All'interno di un pool di identità dei workload, le identità dei workload gestite sono organizzate in limiti amministrativi chiamati spazi dei nomi. Gli spazi dei nomi ti aiutano a organizzare e concedere l'accesso alle identità dei workload correlate.
Policy di attestazione
L'identità dei workload gestita per Compute Engine richiede la configurazione delle policy di attestazione.
L'identità dei workload gestita per GKE gestisce le policy di attestazione per te.
Le policy di attestazione dei workload consentono di definire a quale workload può essere rilasciata una credenziale per un'identità dei workload gestita in base agli attributi verificabili del workload, come l'ID progetto o il nome della risorsa. Una policy di attestazione del workload garantisce che solo i workload attendibili possano utilizzare l'identità gestita.
Passaggi successivi
Configura l'autenticazione dell'identità dei workload gestita per Compute Engine.
Configura l'autenticazione dell'identità dei workload gestita per GKE.
Scopri di più sull'utilizzo delle identità dei workload gestite con i workload di Compute Engine.
Scopri di più sull'utilizzo dell'identità dell'agente con Vertex AI Agent Engine.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $in crediti senza costi per l'esecuzione, il test e il deployment dei workload.
Inizia senza costi