סקירה כללית של זהויות מנוהלות של עומסי עבודה

זהויות מנוהלות של עומסי עבודה מאפשרות לכם לקשר זהויות עם אימות חזק לעומסי העבודה שלכם ב-Google Kubernetes Engine‏ (GKE) וב-Compute Engine. ההגדרה הזו כוללת גם זהויות של סוכנים, שמיועדות לעומסי עבודה של סוכנים.

‫Google Cloud provision X.509 credentials and trust anchors that are issued from Certificate Authority Service. אפשר להשתמש בפרטי הכניסה ובנקודות העוגן של האמון כדי לאמת באופן מהימן את עומס העבודה עם עומסי עבודה אחרים באמצעות אימות TLS בו-זמני (mTLS).

התכונות הבאות זמינות בגרסת טרום-השקה:

• זהויות מנוהלות של עומסי עבודה ל-GKE
• זהויות מנוהלות של עומסי עבודה ב-Compute Engine
• בקשת גישה לזהויות מנוהלות של עומסי עבודה ב-Compute Engine
• זהויות של נציגים

יכולת פעולה הדדית של SPIFFE

כדי לאפשר פעולה הדדית בסביבות דינמיות והטרוגניות, זהויות מנוהלות של עומסי עבודה מבוססות על Secure Production Identity Framework For Everyone (SPIFFE). ‫SPIFFE מגדיר מסגרת וקבוצה של תקנים לזיהוי, לאימות ולאבטחת תקשורת בין עומסי עבודה. עומסי עבודה של SPIFFE מזוהים באמצעות מזהה SPIFFE ייחודי. ב- Google Cloud, מזהה SPIFFE הוא באחד מהפורמטים הבאים:

• עומסי עבודה ב-Compute Engine:

  spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID

• עומסי עבודה (workloads) ב-GKE:

  spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT

• עומסי עבודה של זהויות סוכנים:

  spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME

היררכיית המשאבים

בקטע הזה מתוארים משאבים מנוהלים של זהויות של עומסי עבודה.

מאגר זהויות של כוח עבודה

זהויות מנוהלות של עומסי עבודה מוגדרות במאגר זהויות של עומסי עבודה, שמשמש כגבול מהימן לכל הזהויות במאגר. מאגר הזהויות של עומס העבודה יוצר את רכיב דומיין האמון של מזהה ה-SPIFFE של הזהות המנוהלת של עומס העבודה. מומלץ ליצור מאגר חדש לכל סביבה לוגית בארגון, כמו פיתוח, Staging או ייצור.

מרחבי שמות

בתוך מאגר זהויות של עומסי עבודה, הזהויות המנוהלות של עומסי העבודה מאורגנות בגבולות אדמיניסטרטיביים שנקראים מרחבי שמות. מרחבי שמות עוזרים לכם לארגן זהויות קשורות של עומסי עבודה ולהעניק להן גישה.

מדיניות אימות

כדי להשתמש ב-Workload Identity מנוהל ב-Compute Engine, צריך להגדיר מדיניות אימות.

התכונה 'זהויות מנוהלות של עומסי עבודה' ב-GKE מנהלת בשבילכם את מדיניות האימות.

כללי מדיניות לאימות עומסי עבודה מאפשרים לכם להגדיר לאיזה עומס עבודה אפשר להנפיק פרטי כניסה לזהות מנוהלת של עומס עבודה על סמך מאפיינים ניתנים לאימות של עומס העבודה, כמו מזהה פרויקט או שם משאב. מדיניות אימות של עומס עבודה מוודאת שרק עומסי עבודה מהימנים יכולים להשתמש בזהות המנוהלת.

המאמרים הבאים

• מגדירים אימות מנוהל של Workload Identity ב-Compute Engine.

• הגדרת אימות מנוהל של זהויות של עומסי עבודה ב-GKE

• מידע נוסף על שימוש בזהויות מנוהלות של עומסי עבודה עם עומסי עבודה של Compute Engine

• מידע נוסף על שימוש בזהות של סוכן עם Vertex AI Agent Engine

נסו בעצמכם

אתם משתמשים חדשים ב- Google Cloud? אנחנו ממליצים לכם ליצור חשבון, להתנסות בעצמכם במוצרים שלנו ולבחון אותם באמצעות תרחישים ממשיים. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

מתחילים לעבוד בלי לשלם