Mit verwalteten Arbeitslastidentitäten können Sie stark attestierte Identitäten an Ihre Arbeitslasten in der Google Kubernetes Engine (GKE) und der Compute Engine binden. Dazu gehören auch Identitäten von KI-Agenten, die für agentische Arbeitslasten konzipiert sind.
Google Cloud stellt X.509-Anmeldedaten und Trust-Anchors bereit, die von Certificate Authority Service ausgestellt werden. Mit den Anmeldedaten und Trust-Anchors können Sie Ihre Arbeitslast über gegenseitige TLS-Authentifizierung (mTLS) zuverlässig gegenüber anderen Arbeitslasten authentifizieren.
Folgende Funktionen sind verfügbar:
- Verwaltete Arbeitslastidentitäten für GKE (Vorschau)
- Verwaltete Arbeitslastidentitäten für Compute Engine (Vorschau)
- Zugriff auf die verwalteten Arbeitslastidentitäten für Compute Engine anfordern (Vorschau)
- Identitäten von KI-Agenten
SPIFFE-Interoperabilität
Um die Interoperabilität in dynamischen und heterogenen Umgebungen zu ermöglichen, basiert die verwaltete Arbeitslastidentität auf dem Secure Production Identity Framework for Everyone (SPIFFE). SPIFFE definiert ein Framework und eine Reihe von Standards zur Identifizierung, Authentifizierung und Sicherung der Kommunikation zwischen Arbeitslasten. SPIFFE-Arbeitslasten werden durch eine eindeutige SPIFFE-ID identifiziert. In Google Cloudhat eine SPIFFE-ID die folgenden Formate:
Compute Engine-Arbeitslasten:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE-Arbeitslasten:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNTArbeitslasten mit Identitäten von KI-Agenten:
spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME
Ressourcenhierarchie
In diesem Abschnitt werden Ressourcen für verwaltete Arbeitslastidentitäten beschrieben.
Identitätspools für Arbeitslasten
Verwaltete Arbeitslastidentitäten werden in einem Workload Identity-Pool, der als Vertrauensgrenze für alle Identitäten im Pool dient, definiert. Der Workload Identity-Pool bildet die Vertrauensdomainkomponente der SPIFFE-Kennung der verwalteten Workload Identity. Wir empfehlen, für jede logische Umgebung in Ihrer Organisation einen neuen Pool zu erstellen, z. B. für Entwicklung, Staging oder Produktion.
Namespaces
Innerhalb eines Workload Identity-Pools werden verwaltete Arbeitslastidentitäten in administrativen Grenzen organisiert, die als Namespaces bezeichnet werden. Mit Namespaces können Sie zugehörige Arbeitslastidentitäten organisieren und den Zugriff darauf gewähren.
Attestierungsrichtlinien
Für die verwaltete Arbeitslastidentität für Compute Engine müssen Sie Attestierungsrichtlinien konfigurieren.
Die verwaltete Arbeitslastidentität für GKE verwaltet Attestierungsrichtlinien für Sie.
Mit den Richtlinien zur Attestierung von Arbeitslasten können Sie festlegen, für welche Arbeitslasten Anmeldedaten für eine verwaltete Workload Identity auf der Grundlage der überprüfbaren Attribute der Arbeitslast, wie z.B. Projekt-ID oder Ressourcenname, ausgestellt werden können. Eine Richtlinie zur Arbeitslastattestierung sorgt dafür, dass nur vertrauenswürdige Arbeitslasten die verwaltete Identität verwenden können.
Nächste Schritte
Authentifizierung von verwalteten Arbeitslastidentitäten für Compute Engine konfigurieren.
Authentifizierung von verwalteten Arbeitslastidentitäten für GKE konfigurieren.
Weitere Informationen zur Verwendung von verwalteten Arbeitslastidentitäten mit Compute Engine-Arbeitslasten.
Weitere Informationen zur Verwendung von Identitäten von KI-Agenten mit der Vertex AI Agent Engine.
Überzeugen Sie sich selbst
Wenn Sie noch kein Konto haben Google Cloud, erstellen Sie eines, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten