Dengan identitas beban kerja terkelola, Anda dapat mengikat identitas yang dibuktikan dengan kuat ke beban kerja Google Kubernetes Engine (GKE) dan Compute Engine. Hal ini juga mencakup identitas agen, yang dirancang untuk workload berbasis agen.
Google Cloud menyediakan kredensial X.509 dan trust anchor yang dikeluarkan dari Certificate Authority Service. Kredensial dan anchor tepercaya dapat digunakan untuk mengautentikasi beban kerja Anda secara andal dengan beban kerja lain melalui autentikasi TLS timbal balik (mTLS).
Fitur berikut tersedia di Pratinjau:
- Identitas workload terkelola untuk GKE
- Identitas workload terkelola untuk Compute Engine
- Meminta akses ke identitas workload terkelola untuk Compute Engine
- Identitas agen
Interoperabilitas SPIFFE
Untuk mengaktifkan interoperabilitas di seluruh lingkungan dinamis dan heterogen, identitas workload terkelola didasarkan pada Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE menentukan framework dan serangkaian standar untuk mengidentifikasi, mengautentikasi, dan mengamankan komunikasi antar-workload. Workload SPIFFE diidentifikasi oleh ID SPIFFE unik. Di Google Cloud, ID SPIFFE memiliki format berikut:
Workload Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDWorkload GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNTWorkload identitas agen:
spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME
Hierarki resource
Bagian ini menjelaskan resource identitas workload terkelola.
Workload Identity pools
Identitas workload terkelola ditentukan dalam workload identity pool, yang bertindak sebagai batas kepercayaan untuk semua identitas dalam pool. Workload identity pool membentuk komponen domain tepercaya dari ID SPIFFE identitas workload terkelola. Sebaiknya buat kumpulan baru untuk setiap lingkungan logis di organisasi Anda, seperti pengembangan, staging, atau produksi.
Namespace
Dalam workload identity pool, identitas workload terkelola disusun ke dalam batas administratif yang disebut namespace. Namespace membantu Anda mengatur dan memberikan akses ke workload identity terkait.
Kebijakan pengesahan
Workload identity terkelola untuk Compute Engine mengharuskan Anda mengonfigurasi kebijakan pengesahan.
Managed workload identity untuk GKE mengelola kebijakan pengesahan untuk Anda.
Kebijakan pengesahan workload memungkinkan Anda menentukan workload mana yang dapat dikeluarkan kredensial untuk managed workload identity berdasarkan atribut workload yang dapat diverifikasi, seperti ID project atau nama resource. Kebijakan pengesahan workload memastikan bahwa hanya workload tepercaya yang dapat menggunakan identitas terkelola.
Langkah berikutnya
Mengonfigurasi autentikasi managed workload identity untuk Compute Engine.
Mengonfigurasi autentikasi managed workload identity untuk GKE.
Pelajari lebih lanjut penggunaan identitas beban kerja terkelola dengan beban kerja Compute Engine.
Pelajari lebih lanjut penggunaan identitas agen dengan Vertex AI Agent Engine.
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga akan mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis