透過受管理的工作負載身分,您可以將經過嚴格驗證的身分繫結至 Google Kubernetes Engine (GKE) 和 Compute Engine 工作負載。
Google Cloud 提供從憑證授權單位服務核發的 X.509 憑證和信任錨點。您可以使用憑證和信任錨點,透過相互傳輸層安全標準 (mTLS) 驗證,與其他工作負載進行可靠的驗證。
GKE 的代管工作負載身分現已推出預先發布版。 Compute Engine 的代管工作負載身分現已推出預先發布版,歡迎提出要求。申請 Compute Engine 預先發布版的代管工作負載身分存取權。
SPIFFE 互通性
為確保動態異質環境的互通性,代管 Workload Identity 是以 Secure Production Identity Framework For Everyone (SPIFFE) 為基礎。SPIFFE 定義了架構和一組標準,用於識別、驗證工作負載,以及確保工作負載之間的通訊安全。SPIFFE 工作負載會以專屬 SPIFFE ID 識別。在 Google Cloud中,SPIFFE ID 的格式如下:
Compute Engine 工作負載:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE 工作負載:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
資源階層
本節說明受管理的工作負載身分識別資源。
Workload Identity 集區
代管型 Workload Identity 是在工作負載身分集區中定義,該集區會做為集區內所有身分的信任界線。工作負載身分集區會構成代管型工作負載身分 SPIFFE ID 的信任網域元件。建議您為機構中的每個邏輯環境 (例如開發、測試或實際工作環境) 建立新的集區。
命名空間
在工作負載身分集區中,代管型工作負載身分會整理成稱為「命名空間」的管理邊界。命名空間可協助您整理及授予相關工作負載身分的存取權。
認證政策
如要使用 Compute Engine 的受管理工作負載身分,必須設定驗證政策。
GKE 的代管型 Workload Identity 會為您管理驗證政策。
您可以根據工作負載的可驗證屬性 (例如專案 ID 或資源名稱),透過工作負載驗證政策定義可為代管工作負載身分核發憑證的工作負載。工作負載認證政策可確保只有受信任的工作負載可以使用代管身分。