Las identidades para cargas de trabajo administradas te permiten vincular identidades certificadas a tus cargas de trabajo de Google Kubernetes Engine (GKE) y Compute Engine.
Google Cloud Aprovisiona credenciales X.509 y anclas de confianza que se emiten desde Certificate Authority Service. Las credenciales y las entidades de confianza se pueden usar para autenticar de forma confiable tu carga de trabajo con otras cargas de trabajo a través de la autenticación TLS mutua (mTLS).
Las identidades para cargas de trabajo administradas para GKE están disponibles en versión preliminar. Las identidades para cargas de trabajo administradas de Compute Engine están disponibles en versión preliminar, previa solicitud. Solicita acceso a la versión preliminar de las identidades para cargas de trabajo administradas de Compute Engine.
Interoperabilidad de SPIFFE
Para habilitar la interoperabilidad en entornos dinámicos y heterogéneos, las identidades para cargas de trabajo administradas se basan en el Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE define un framework y un conjunto de estándares para identificar, autenticar y proteger las comunicaciones entre cargas de trabajo. Las cargas de trabajo de SPIFFE se identifican con un ID de SPIFFE único. En Google Cloud, un ID de SPIFFE tiene los siguientes formatos:
Cargas de trabajo de Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCargas de trabajo de GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Jerarquía de recursos
En esta sección, se describen los recursos de identidad de cargas de trabajo administrados.
Grupos de Workload Identity
Las identidades para cargas de trabajo administradas se definen dentro de un grupo de identidades para cargas de trabajo, que actúa como un límite de confianza para todas las identidades dentro del grupo. El grupo de identidades para cargas de trabajo forma el componente de dominio de confianza del identificador SPIFFE de la identidad de trabajo administrada. Te recomendamos crear un grupo nuevo para cada entorno lógico de tu organización, como desarrollo, etapa de pruebas o producción.
Espacios de nombres
Dentro de un grupo de identidades para cargas de trabajo, las identidades de cargas de trabajo administradas se organizan en límites administrativos llamados espacios de nombres. Los espacios de nombres te ayudan a organizar y otorgar acceso a las identidades para cargas de trabajo relacionadas.
Políticas de certificación
La identidad para cargas de trabajo administrada para Compute Engine requiere que configures políticas de certificación.
La identidad para cargas de trabajo administrada para GKE administra las políticas de certificación por ti.
Las políticas de certificación de cargas de trabajo te permiten definir a qué carga de trabajo se le puede emitir una credencial para una identidad de carga de trabajo administrada según los atributos verificables de la carga de trabajo, como el ID del proyecto o el nombre del recurso. Una política de certificación de carga de trabajo garantiza que solo las cargas de trabajo de confianza puedan usar la identidad administrada.
¿Qué sigue?
Configura la autenticación para cargas de trabajo administradas para Compute Engine.
Configura la autenticación de Workload Identity administrada para GKE.
Obtén más información sobre cómo usar identidades para cargas de trabajo administradas con cargas de trabajo de Compute Engine.
Pruébalo tú mismo
Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
Comenzar gratis