הגדרה של איחוד שירותי אימות הזהות של עומסי עבודה עם מכונות וירטואליות של AWS או Azure

במדריך הזה מוסבר איך להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה כדי לאפשר לעומסי עבודה של מכונות וירטואליות ב-AWS וב-Azure לבצע אימות ב- Google Cloud בלי מפתח של חשבון שירות.

אם אתם משתמשים ב-Amazon Elastic Kubernetes Service‏ (Amazon EKS) או ב-Azure Kubernetes Service‏ (AKS), תוכלו לקרוא את המאמר הגדרת איחוד שירותי אימות הזהות של עומסי עבודה באמצעות Kubernetes כדי ללמוד איך להגדיר איחוד שירותי אימות הזהות של עומסי עבודה עבור האשכולות שלכם. בדף הזה מוסבר רק איך להגדיר איחוד שירותי אימות הזהות של עומסי עבודה למכונות וירטואליות ב-AWS וב-Azure.

באמצעות איחוד שירותי אימות הזהות של עומסי עבודה, עומסי עבודה שפועלים ב-AWS EC2 ובמכונות וירטואליות של Azure יכולים להחליף את פרטי הכניסה הספציפיים לסביבה באסימונים שלGoogle Cloud Security Token Service לטווח קצר.

פרטי כניסה ספציפיים לסביבה כוללים:

• מכונות AWS EC2 שיכולות להשתמש בפרופילים של מכונות כדי לבקש פרטי כניסה זמניים
• מכונות וירטואליות של Azure יכולות להשתמש בזהויות מנוהלות כדי לקבל אסימוני גישה של Azure.

באמצעות הגדרה של איחוד שירותי אימות הזהות של עומסי עבודה, תוכלו לאפשר לעומסי העבודה האלה להחליף את פרטי הכניסה שספציפיים לסביבה בפרטי כניסה שלGoogle Cloud לטווח קצר. עומסי העבודה יכולים להשתמש בפרטי הכניסה לטווח קצר כדי לגשת ל- Google Cloud APIs.

לפני שמתחילים

• מגדירים אימות.

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  In the Google Cloud console, activate Cloud Shell.

  Activate Cloud Shell

  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  Python

  כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של Python שבדף הזה, מתקינים ומפעילים את ה-CLI של gcloud, ואז מגדירים את Application Default Credentials באמצעות פרטי הכניסה של המשתמש.

  התקינו את ה-CLI של Google Cloud.

  אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  If you're using a local shell, then create local authentication credentials for your user account:

  gcloud auth application-default login

  You don't need to do this if you're using Cloud Shell.

  If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

  למידע נוסף, ראו הגדרת ADC לסביבת פיתוח מקומית במאמרי העזרה בנושא אימות Google Cloud .

הכנה של ספק הזהויות החיצוני

צריך לבצע את השלבים האלה פעם אחת לכל דייר (tenant) ב-Microsoft Entra ID ולכל חשבון AWS.

הגדרת איחוד שירותי אימות הזהות של עומסי עבודה

צריך לבצע את ההוראות האלה פעם אחת לכל חשבון AWS או לכל דייר (tenant) ב-Microsoft Entra ID. לאחר מכן תוכלו להשתמש באותו מאגר ובאותו ספק זהויות של כוח עבודה בכמה עומסי עבודה ובכמה פרויקטים של Google Cloud .

כדי להתחיל בהגדרה של איחוד שירותי אימות הזהות של עומסי עבודה, מבצעים את הפעולות הבאות:

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

עדיף להשתמש בפרויקט ייעודי לניהול ספקים ומאגרי זהויות של עומסי עבודה.

Verify that billing is enabled for your Google Cloud project.

Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

הגדרת מיפוי של מאפיין ותנאי

פרטי הכניסה הספציפיים לסביבה של עומס העבודה ב-AWS או ב-Azure מכילים כמה מאפיינים, ואתם צריכים להחליט באיזה מאפיין להשתמש בתור מזהה הנושא (google.subject) ב- Google Cloud.

‫Google Cloud משתמש במזהה הנושא ביומני הביקורת של Cloud ובמזהים של חשבונות המשתמשים כדי לזהות באופן ייחודי משתמש או תפקיד ב-AWS או ב-Azure.

אפשר גם למפות מאפיינים נוספים (אופציונלי). לאחר מכן תוכלו להפנות למאפיינים האלה כשמקצים גישה למשאבים.

google.subject=assertion.arn
attribute.account=assertion.account
attribute.aws_role=assertion.arn.extract('assumed-role/{role}/')
attribute.aws_ec2_instance=assertion.arn.extract('assumed-role/{role_and_session}').extract('/{session}')

google.subject=assertion.sub

google.subject=assertion.sub.extract('/eid1/c/pub/t/{sub_claim}')

אפשר גם להגדיר תנאי למאפיין. תנאים למאפיינים הם ביטויים ב-CEL שאפשר לבדוק בהם טענת נכוֹנוּת (assertion) ומאפייני יעד. אם בפרטי כניסה מסוימים הערך של התנאי למאפיין הוא true, הפרטים האלה מאושרים. אחרת, פרטי הכניסה נדחים.

assertion.arn.startsWith('arn:aws:sts::AWS_ACCOUNT_ID:assumed-role/')

יצירה של מאגר וספק זהויות של כוח עבודה

סיימתם לאסוף את כל המידע שצריך כדי ליצור מאגר וספק זהויות של כוח עבודה:

אימות של עומסי עבודה

צריך לבצע את ההוראות האלה פעם אחת לכל עומס עבודה.

מתן הרשאה לעומס העבודה החיצוני לגשת למשאבי Google Cloud

כדי להעניק לעומס העבודה גישה למשאבים של Google Cloud , מומלץ להעניק לישות הראשית גישה ישירה למשאבים. במקרה הזה, הגורם המרכזי הוא המשתמש המאוחד. יש Google Cloud מוצרים עם מגבלות של Google Cloud API. אם עומס העבודה קורא לנקודת קצה ל-API שיש לה מגבלה, אפשר במקום זאת להשתמש בהתחזות לחשבון שירות. במקרה הזה, חשבון המשתמש הואGoogle Cloud חשבון השירות, שמשמש כזהות. מעניקים גישה לחשבון השירות במשאב.

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

הורדה או יצירה של הגדרות אישיות של פרטי הכניסה

ספריות הלקוח ב-Cloud, ‏ה-CLI של gcloud ו-Terraform יכולים להשיג פרטי כניסה חיצוניים באופן אוטומטי, ולהשתמש בהם כדי להתחזות לחשבון שירות. כדי לאפשר לספריות ולכלים להשלים את התהליך הזה, צריך לספק קובץ תצורה של פרטי הכניסה. הקובץ יגדיר את הפרטים הבאים:

• המקור שממנו משיגים פרטי כניסה חיצוניים
• מאגר וספק הזהויות של כוח עבודה שבהם צריך להשתמש
• חשבון השירות שצריך להתחזות אליו

כדי ליצור קובץ תצורה של פרטי הכניסה:

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --aws \
    --sts-location=REGION \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --aws \
    --enable-imdsv2 \
    --sts-location=REGION \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --azure \
    --app-id-uri APPLICATION_ID_URI \
    --sts-location=REGION \
    --output-file=FILEPATH.json

שימוש בהגדרות פרטי הכניסה כדי לקבל גישה אל Google Cloud

כדי לאפשר לכלים ולספריות הלקוח להשתמש בהגדרות האישיות של פרטי הכניסה בסביבה שלכם ב-AWS או ב-Azure:

1. מאתחלים את משתנה הסביבה GOOGLE_APPLICATION_CREDENTIALS ומפנים אותו לקובץ התצורה של פרטי הכניסה:

   Bash

   ‫

     export GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
     

   כאשר FILEPATH הוא הנתיב היחסי לקובץ התצורה של פרטי הכניסה.

   PowerShell

   ‫

     $env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
     

   כאשר FILEPATH הוא הנתיב היחסי לקובץ התצורה של פרטי הכניסה.

2. משתמשים בספריית לקוח או בכלי שתומכים באיחוד שירותי אימות הזהות של עומסי עבודה, ויכולים למצוא פרטי כניסה באופן אוטומטי:

   C++‎

   ספריות הלקוח של C++‎‏Google Cloud תומכות באיחוד שירותי אימות הזהות של עומסי עבודה החל מגרסה v2.6.0. כדי להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה, צריך ליצור את ספריות הלקוח ב-gRPC בגרסה 1.36.0 ואילך.

   Go

   ספריות לקוח ל-Go תומכות באיחוד שירותי אימות הזהות של עומסי עבודה אם נעשה בהן שימוש במודול golang.org/x/oauth2 בגרסה v0.0.0-20210218202405-ba52d332ba99 ואילך.

   כדי לבדוק באיזו גרסה של המודול הזה נעשה שימוש בספריית הלקוח, מפעילים את הפקודות האלה:

   cd $GOPATH/src/cloud.google.com/go
   go list -m golang.org/x/oauth2
   

   Java

   ספריות לקוח של Java תומכות באיחוד שירותי אימות הזהות של עומסי עבודה אם הן משתמשות בארטיפקט com.google.auth:google-auth-library-oauth2-http בגרסה 0.24.0 ואילך.

   כדי לבדוק באיזו גרסה של הארטיפקט הזה נעשה שימוש בספריית הלקוח, בספרייה של האפליקציה מפעילים את פקודת Maven הזאת:

   mvn dependency:list -DincludeArtifactIds=google-auth-library-oauth2-http
   

   Node.js

   ספריות לקוח של Node.js תומכות באיחוד שירותי אימות הזהות של עומסי עבודה אם הן משתמשות בגרסה 7.0.2 ואילך של חבילת google-auth-library.

   כדי לבדוק באיזו גרסה של החבילה הזאת נעשה שימוש בספריית הלקוח, בספרייה של האפליקציה מפעילים את פקודת Maven הזאת:

   npm list google-auth-library
   

   כשיוצרים אובייקט GoogleAuth, אפשר לציין מזהה פרויקט או לאפשר ל-GoogleAuth לאתר את מזהה הפרויקט באופן אוטומטי. כדי לאתר את מזהה הפרויקט באופן אוטומטי, צריך להקצות לחשבון השירות בקובץ התצורה את התפקיד דפדפן (roles/browser) או תפקיד עם הרשאות דומות בפרויקט. לפרטים נוספים, ראו README לחבילת google-auth-library.

   Python

   ספריות לקוח של Python תומכות באיחוד זהויות של עומסי עבודה אם הן משתמשות בגרסה 1.27.0 ואילך של חבילת google-auth.

   כדי לבדוק באיזו גרסה של החבילה הזאת נעשה שימוש בספריית הלקוח, בסביבה שהחבילה מותקנת בה מפעילים את הפקודה:

   pip show google-auth
   

   כדי לציין מזהה פרויקט ללקוח האימות, תוכלו להגדיר את משתנה הסביבה GOOGLE_CLOUD_PROJECT או לאפשר ללקוח למצוא את מזהה הפרויקט באופן אוטומטי. כדי לאתר את מזהה הפרויקט באופן אוטומטי, צריך להקצות לחשבון השירות בקובץ התצורה את התפקיד דפדפן (roles/browser) או תפקיד עם הרשאות דומות בפרויקט. לפרטים נוספים, ראו מדריך למשתמש לחבילת google-auth.

   gcloud

   כדי לבצע אימות באמצעות איחוד שירותי אימות הזהות של עומסי עבודה, משתמשים בפקודה gcloud auth login:

   gcloud auth login --cred-file=FILEPATH.json
   

   מחליפים את FILEPATH בנתיב לקובץ התצורה של פרטי הכניסה.

   ב-CLI של gcloud יש תמיכה באיחוד שירותי אימות הזהות של עומסי עבודה ב-CLI של gcloud בגרסה 363.0.0 ואילך.

   Terraform

   יש תמיכה באיחוד שירותי אימות הזהות של עומסי עבודה אם משתמשים בספקGoogle Cloud בגרסה 3.61.0 ואילך:

   terraform {
     required_providers {
       google = {
         source  = "hashicorp/google"
         version = "~> 3.61.0"
       }
     }
   }
   

   BQ

   כדי לבצע אימות באמצעות איחוד שירותי אימות הזהויות של עומסי עבודה, משתמשים בפקודה gcloud auth login:

   gcloud auth login --cred-file=FILEPATH.json
   

   מחליפים את FILEPATH בנתיב לקובץ התצורה של פרטי הכניסה.

   ב-bq, יש תמיכה באיחוד שירותי אימות הזהויות של עומסי עבודה ב-CLI של gcloud בגרסה 390.0.0 ואילך.

   אם אתם לא יכולים להשתמש בספריית לקוח שיש בה תמיכה באיחוד זהויות של עומסי עבודה, תוכלו לאמת באופן פרוגרמטי באמצעות ה-API בארכיטקטורת REST.

תרחישים מתקדמים

אימות של עומס עבודה באמצעות API ל-REST

אם אתם לא יכולים להשתמש בספריות הלקוח, כדי לאפשר לעומס עבודה חיצוני לקבל אסימון גישה לטווח קצר באמצעות ה-API ל-REST פועלים לפי ההוראות שכאן:

1. מקבלים פרטי כניסה מ-IdP החיצוני:

   AWS

   יוצרים מסמך JSON שמכיל מידע שבדרך כלל כלול בבקשה שנשלחת לנקודת הקצה GetCallerIdentity() ב-AWS, כולל חתימת בקשה תקינה.

   איחוד שירותי אימות הזהות של עומסי עבודה מתייחס למסמך ה-JSON הזה בתור אסימון GetCallerIdentity. האסימון מאפשר לאיחוד שירותי אימות הזהות של עומסי עבודה לאמת את הזהות בלי לחשוף את מפתח הגישה הסודי ל-AWS.

   דוגמה לאסימון GetCallerIdentity:

   {
     "url": "https://sts.amazonaws.com?Action=GetCallerIdentity&Version=2011-06-15",
     "method": "POST",
     "headers": [
       {
         "key": "Authorization",
         "value" : "AWS4-HMAC-SHA256 Credential=AKIASOZTBDV4D7ABCDEDF/20200228/us-east-1/sts/aws4_request, SignedHeaders=host;x-amz-date,Signature=abcedefdfedfd"
       },
       {
         "key": "host",
         "value": "sts.amazonaws.com"
       },
       {
         "key": "x-amz-date",
         "value": "20200228T225005Z"
       },
       {
         "key": "x-goog-cloud-target-resource",
         "value": "//iam.googleapis.com/projects/12345678/locations/global/workloadIdentityPools/my-pool/providers/my-aws-provider"
       },
       {
         "key": "x-amz-security-token",
         "value": "GizFWJTqYX...xJ55YoJ8E9HNU="
       }
     ]
   }
   

   באסימון נכללים השדות הבאים:

   • ‫url: כתובת ה-URL של נקודת הקצה ב-AWS STS ל-GetCallerIdentity() עם גוף הבקשה הרגיל של GetCallerIdentity() שמצורף כפרמטרים של שאילתה. לדוגמה, https://sts.amazonaws.com?Action=GetCallerIdentity&Version=2011-06-15. מומלץ להשתמש בנקודות קצה אזוריות של STS ולתכנן תשתית אמינה לעומסי העבודה. מידע נוסף זמין במאמר נקודות קצה אזוריות של AWS STS.
   • method: ה-method של בקשת ה-HTTP: POST
   • headers: הכותרות של בקשות ה-HTTP. הן חייבות לכלול:
     • Authorization: חתימת הבקשה
     • host: שם המארח בשדה url. למשל, sts.amazonaws.com
     • ‫x-amz-date: השעה שבה תשלחו את הבקשה, בפורמט ISO 8601 Basic. בדרך כלל, הערך הזה מוגדר לשעה הנוכחית, והוא משמש למניעה של התקפות שליחה מחדש
     • ‫x-goog-cloud-target-resource: שם המשאב המלא של ספק הזהויות, בלי קידומת https: לדוגמה:

       //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
       

     • x-amz-security-token: אסימון לסשן חובה רק אם אתם משתמשים בפרטי כניסה מאובטחים זמניים.

   בדוגמה שכאן נוצר אסימון GetCallerIdentity בקידודי תווים שמתאימים לכתובות URL. צריך לחלץ את האסימון בקידודי התווים שמתאימים לכתובות URL לשימוש במועד מאוחר יותר. לעיונכם, נוצר גם אסימון קריא לאנשים:

   import json
   import urllib
   
   import boto3
   from botocore.auth import SigV4Auth
   from botocore.awsrequest import AWSRequest
   
   
   def create_token_aws(project_number: str, pool_id: str, provider_id: str) -> None:
       # Prepare a GetCallerIdentity request.
       request = AWSRequest(
           method="POST",
           url="https://sts.amazonaws.com/?Action=GetCallerIdentity&Version=2011-06-15",
           headers={
               "Host": "sts.amazonaws.com",
               "x-goog-cloud-target-resource": f"//iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/providers/{provider_id}",
           },
       )
   
       # Set the session credentials and Sign the request.
       # get_credentials loads the required credentials as environment variables.
       # Refer:
       # https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html
       SigV4Auth(boto3.Session().get_credentials(), "sts", "us-east-1").add_auth(request)
   
       # Create token from signed request.
       token = {"url": request.url, "method": request.method, "headers": []}
       for key, value in request.headers.items():
           token["headers"].append({"key": key, "value": value})
   
       # The token lets workload identity federation verify the identity without revealing the AWS secret access key.
       print("Token:\n%s" % json.dumps(token, indent=2, sort_keys=True))
       print("URL encoded token:\n%s" % urllib.parse.quote(json.dumps(token)))
   
   
   def main() -> None:
       # TODO(Developer): Replace the below credentials.
       # project_number: Google Project number (not the project id)
       project_number = "my-project-number"
       pool_id = "my-pool-id"
       provider_id = "my-provider-id"
   
       create_token_aws(project_number, pool_id, provider_id)
   
   
   if __name__ == "__main__":
       main()

   מאתחלים את המשתנים הבאים:

   Bash

   SUBJECT_TOKEN_TYPE="urn:ietf:params:aws:token-type:aws4_request"
   SUBJECT_TOKEN=TOKEN
   

   PowerShell

   $SubjectTokenType = "urn:ietf:params:aws:token-type:aws4_request"
   $SubjectToken = "TOKEN"
   

   ‫TOKEN הוא האסימון בקידודי התווים שמתאימים לכתובות URL ‏GetCallerIdentity שנוצר על ידי הסקריפט.

   Azure

   מתחברים למכונה וירטואלית של Azure שהוקצתה לה זהות מנוהלת ומקבלים טוקן גישה מ-Azure Instance Metadata Service ‏ (IMDS):

   Bash

   SUBJECT_TOKEN_TYPE="urn:ietf:params:oauth:token-type:jwt"
   SUBJECT_TOKEN=$(curl \
     "http://169.254.169.254/metadata/identity/oauth2/token?resource=APP_ID_URI&api-version=2018-02-01" \
     -H "Metadata: true" | jq -r .access_token)
   echo $SUBJECT_TOKEN
   

   בפקודה הזו נעשה שימוש בכלי jq. כברירת מחדל, הכלי jq זמין ב-Cloud Shell.

   PowerShell

   $SubjectTokenType = "urn:ietf:params:oauth:token-type:jwt"
   $SubjectToken = (Invoke-RestMethod `
     -Uri "http://169.254.169.254/metadata/identity/oauth2/token?resource=APP_ID_URI&api-version=2018-02-01" `
     -Headers @{Metadata="true"}).access_token
   Write-Host $SubjectToken
   

   ‫APP_ID_URI הוא URI של מזהה האפליקציה שהגדרתם לאיחוד שירותי אימות הזהות של עומסי עבודה.

2. משתמשים בSecurity Token Service API כדי להחליף את פרטי הכניסה באסימון גישה לטווח קצר:

   Bash

   STS_TOKEN=$(curl https://sts.googleapis.com/v1/token \
       --data-urlencode "audience=//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID" \
       --data-urlencode "grant_type=urn:ietf:params:oauth:grant-type:token-exchange" \
       --data-urlencode "requested_token_type=urn:ietf:params:oauth:token-type:access_token" \
       --data-urlencode "scope=https://www.googleapis.com/auth/cloud-platform" \
       --data-urlencode "subject_token_type=$SUBJECT_TOKEN_TYPE" \
       --data-urlencode "subject_token=$SUBJECT_TOKEN" | jq -r .access_token)
   echo $STS_TOKEN
   

   PowerShell

   [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12
   $StsToken = (Invoke-RestMethod `
       -Method POST `
       -Uri "https://sts.googleapis.com/v1/token" `
       -ContentType "application/json" `
       -Body (@{
           "audience"           = "//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID"
           "grantType"          = "urn:ietf:params:oauth:grant-type:token-exchange"
           "requestedTokenType" = "urn:ietf:params:oauth:token-type:access_token"
           "scope"              = "https://www.googleapis.com/auth/cloud-platform"
           "subjectTokenType"   = $SubjectTokenType
           "subjectToken"       = $SubjectToken
       } | ConvertTo-Json)).access_token
   Write-Host $StsToken
   

   מחליפים את הערכים הבאים:

   • PROJECT_NUMBER: מספר הפרויקט שמכיל את מאגר הזהויות של כוח העבודה
   • POOL_ID: מזהה של מאגר הזהויות של כוח העבודה
   • PROVIDER_ID: מזהה ספק של מאגר הזהויות של כוח העבודה

   כדי להשתמש בנקודות קצה אזוריות של Security Token Service, מחליפים את https://sts.googleapis.com/v1/token בערכים הבאים:

    https://sts.REGION.rep.googleapis.com/v1/token 

   מחליפים את REGION בGoogle Cloud מיקום, לדוגמה, us-central1 או europe-west4.

3. אם אתם משתמשים בהתחזות לחשבון שירות, אתם צריכים להשתמש באסימון מ-Security Token Service כדי להפעיל את ה-method ‏generateAccessToken מ-IAM Service Account Credentials API בשביל לקבל אסימון גישה.

אסימונים לשירותי Cloud Run

כשניגשים לשירות של Cloud Run, צריך להשתמש באסימון מזהה.

TOKEN=$(curl -0 -X POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateIdToken \
    -H "Content-Type: text/json; charset=utf-8" \
    -H "Authorization: Bearer $STS_TOKEN" \
    -d @- <<EOF | jq -r .token
    {
        "audience": "SERVICE_URL"
    }
EOF
)
echo $TOKEN

$Token = (Invoke-RestMethod `
    -Method POST `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateIdToken" `
    -Headers @{ "Authorization" = "Bearer $StsToken" } `
    -ContentType "application/json" `
    -Body (@{
        "audience" = "SERVICE_URL"
    } | ConvertTo-Json)).token
Write-Host $Token

מחליפים את מה שכתוב בשדות הבאים:

• SERVICE_ACCOUNT_EMAIL: כתובת האימייל של חשבון השירות.
• ‫SERVICE_URL: כתובת ה-URL של השירות – לדוגמה, https://my-service-12345-us-central1.run.app. אפשר גם להגדיר אותו לנקודת קצה של שירות בהתאמה אישית. מידע נוסף מופיע במאמר בנושא הסבר על קהלים בהתאמה אישית.

טוקנים לפלטפורמות אחרות

כשניגשים לשירות אחר, צריך להשתמש באסימון גישה.

TOKEN=$(curl -0 -X POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateAccessToken \
    -H "Content-Type: text/json; charset=utf-8" \
    -H "Authorization: Bearer $STS_TOKEN" \
    -d @- <<EOF | jq -r .accessToken
    {
        "scope": [ "https://www.googleapis.com/auth/cloud-platform" ]
    }
EOF
)
echo $TOKEN

$Token = (Invoke-RestMethod `
    -Method POST `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateAccessToken" `
    -Headers @{ "Authorization" = "Bearer $StsToken" } `
    -ContentType "application/json" `
    -Body (@{
        "scope" = , "https://www.googleapis.com/auth/cloud-platform"
    } | ConvertTo-Json)).accessToken
Write-Host $Token

מחליפים את מה שכתוב בשדות הבאים:

• SERVICE_ACCOUNT_EMAIL: כתובת האימייל של חשבון השירות.

המאמרים הבאים

• מידע נוסף על איחוד זהויות של עומסי עבודה
• שיטות מומלצות לשימוש באיחוד שירותי אימות הזהות של עומסי עבודה
• איך אפשר לבצע ניהול ספקים ומאגרים של זהויות של עומסי עבודה