有了代管工作負載身分,您就能將經過嚴格驗證的身分,繫結至 Google Kubernetes Engine (GKE) 和 Compute Engine 工作負載。此功能也支援代理身分,可滿足代理式工作負載的需求。
Google Cloud 佈建憑證授權單位服務核發的 X.509 憑證和信任錨點。憑證和信任錨點可用於透過相互傳輸層安全標準 (mTLS) 驗證,以可靠的方式驗證工作負載與其他工作負載之間的關係。
下列功能可以使用:
- GKE 的受管理工作負載身分 (搶先版)
- Compute Engine 的受管理工作負載身分 (預先發布版)
- 申請 Compute Engine 受管理的工作負載身分存取權 (預先發布版)
- 代理身分
SPIFFE 互通性
為確保動態異質環境的互通性,受管理的工作負載身分是以 Secure Production Identity Framework For Everyone (SPIFFE) 為基礎。SPIFFE 定義了架構和一組標準,用於識別、驗證工作負載,以及確保工作負載之間的通訊安全無虞。SPIFFE 工作負載會以專屬 SPIFFE ID 識別。在 Google Cloud中,SPIFFE ID 的格式如下:
Compute Engine 工作負載:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE 工作負載:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT代理身分工作負載:
spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME
資源階層
本節說明受管理的工作負載身分資源。
Workload Identity 集區
受管理的工作負載身分是在工作負載身分集區中定義,這個集區會做為集區內所有身分的信任界線。工作負載身分集區會構成受管理工作負載身分 SPIFFE ID 的信任網域元件。建議您為機構中的每個邏輯環境 (例如開發、測試或實際工作環境) 建立新的集區。
命名空間
在 workload identity pool 中,受管理的工作負載身分會整理成稱為「命名空間」的管理界線。命名空間可協助您整理及授予相關工作負載身分的存取權。
驗證政策
如要使用 Compute Engine 的受管理工作負載身分,必須設定驗證政策。
GKE 的代管型 Workload Identity 會為您管理驗證政策。
您可以根據工作負載的可驗證屬性 (例如專案 ID 或資源名稱),透過工作負載驗證政策定義哪些工作負載可取得代管 Workload Identity 的憑證。工作負載驗證政策可確保只有信任的工作負載,才能使用代管身分。