Mit verwalteten Arbeitslastidentitäten können Sie stark bestätigte Identitäten an Ihre Google Kubernetes Engine- (GKE) und Compute Engine-Arbeitslasten binden.
Google Cloud stellt X.509-Anmeldedaten und Trust-Anchors bereit, die vom Certificate Authority Service ausgestellt werden. Die Anmeldedaten und Vertrauensanker können verwendet werden, um Ihre Arbeitslasten über die gegenseitige TLS-Authentifizierung (mTLS) zuverlässig bei anderen Arbeitslasten zu authentifizieren.
Verwaltete Arbeitslastidentitäten für GKE sind als Vorschauversion verfügbar. Verwaltete Arbeitslastidentitäten für Compute Engine sind auf Anfrage in der Vorschau verfügbar. Zugriff auf die Vorschau der verwalteten Arbeitslastidentitäten für Compute Engine anfordern
SPIFFE-Interoperabilität
Um die Interoperabilität in dynamischen und heterogenen Umgebungen zu ermöglichen, basieren verwaltete Arbeitslastidentitäten auf dem Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE definiert ein Framework und eine Reihe von Standards zur Identifizierung, Authentifizierung und Sicherung der Kommunikation zwischen Arbeitslasten. SPIFFE-Arbeitslasten werden durch eine eindeutige SPIFFE-ID identifiziert. In Google Cloudhat eine SPIFFE-ID die folgenden Formate:
Compute Engine-Arbeitslasten:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE-Arbeitslasten:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Ressourcenhierarchie
In diesem Abschnitt werden verwaltete Workload Identity-Ressourcen beschrieben.
Identitätspools für Arbeitslasten
Verwaltete Arbeitslastidentitäten werden in einem Workload Identity-Pool definiert, der als Vertrauensgrenze für alle Identitäten im Pool dient. Der Workload Identity-Pool bildet die Trust-Domain-Komponente der SPIFFE-Kennung der verwalteten Workload Identity. Wir empfehlen, für jede logische Umgebung in Ihrer Organisation einen neuen Pool zu erstellen, z. B. für Entwicklung, Staging oder Produktion.
Namespaces
In einem Workload Identity-Pool werden verwaltete Arbeitslastidentitäten in administrativen Grenzen organisiert, die als Namespaces bezeichnet werden. Mit Namespaces können Sie zugehörige Arbeitslastidentitäten organisieren und den Zugriff darauf gewähren.
Attestierungsrichtlinien
Für verwaltete Arbeitslastidentitäten für Compute Engine müssen Sie Attestierungsrichtlinien konfigurieren.
Bei der verwalteten Arbeitslastidentität für GKE werden Attestierungsrichtlinien für Sie verwaltet.
Mit den Richtlinien zur Attestierung von Arbeitslasten können Sie festlegen, für welche Arbeitslasten Anmeldedaten für eine verwaltete Arbeitslastidentität auf der Grundlage der überprüfbaren Attribute der Arbeitslast, wie z. B. Projekt-ID oder Ressourcenname, ausgestellt werden können. Eine Attestierungsrichtlinie für Arbeitslasten sorgt dafür, dass nur vertrauenswürdige Arbeitslasten die verwaltete Identität verwenden können.
Nächste Schritte
Authentifizierung von verwalteten Arbeitslastidentitäten für Compute Engine konfigurieren
Authentifizierung von verwalteten Arbeitslastidentitäten für GKE konfigurieren
Überzeugen Sie sich selbst
Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten