Identités pour les charges de travail

Cette page décrit les types d'identités que vous pouvez utiliser pour configurer l'accès de vos charges de travail aux ressources Google Cloud .

Google Cloud fournit les types d'identités suivants pour les charges de travail :

La fédération d'identité de charge de travail et Workload Identity Federation for GKE permettent à vos charges de travail d'accéder à la plupart des services Google Cloud à l'aide d'identités fédérées authentifiées via un fournisseur d'identité externe (IdP). Une fois queGoogle Cloud a authentifié l'identité en tant que compte principal, celui-ci peut accéder aux ressources à l'aide des rôles IAM que vous lui accordez.
Les comptes de service peuvent servir d'identités pour les charges de travail dans les environnements de production.Google Cloud Au lieu d'accorder directement l'accès à une charge de travail, vous accordez l'accès à un compte de service, puis la charge de travail utilise le compte de service comme identité.
Les identités de charge de travail gérées (version preview) vous permettent d'associer des identités fortement certifiées à vos charges de travail Compute Engine et GKE.
Les identités d'agent (version preview) sont des identités gérées par Google pour les charges de travail agentiques. Les identités des agents sont attestées et liées à leur cycle de vie. Cela permet de gérer l'accès des agents aux ressources Google Cloudde manière plus sécurisée qu'avec des comptes de service.

Les types d'identités que vous pouvez utiliser pour les charges de travail et la manière dont vous les configurez dépendent de l'emplacement d'exécution de vos charges de travail.

Configurer des charges de travail sur Google Cloud

Si vous exécutez des charges de travail sur Google Cloud, vous pouvez utiliser les méthodes suivantes pour configurer les identités de vos charges de travail :

Comptes de service associés
Workload Identity Federation for GKE (pour les charges de travail exécutées sur Google Kubernetes Engine uniquement)
Identités de charge de travail gérées (pour les charges de travail exécutées sur Compute Engine et GKE uniquement)
Clés de compte de service

Comptes de service associés

Pour certaines ressources Google Cloud , vous pouvez spécifier un compte de service géré par l'utilisateur que la ressource utilise comme identité par défaut. Ce processus est appelé liaison du compte de service à la ressource, ou association du compte de service à la ressource. Lorsque du code exécuté sur la ressource accède aux services et aux ressources Google Cloud , il utilise le compte de service associé à la ressource comme identité. Par exemple, si vous associez un compte de service à une instance Compute Engine et que les applications de l'instance utilisent une bibliothèque cliente pour appeler les API Google Cloud , ces applications utilisent automatiquement le compte de service associé pour l'authentification et l'autorisation.

Dans la plupart des cas, vous devez associer un compte de service à une ressource lorsque vous créez cette ressource. Une fois la ressource créée, vous ne pouvez pas modifier le compte de service qui lui est associé. Les instances Compute Engine font exception à cette règle : si nécessaire, vous pouvez modifier le compte de service associé à une instance.

Pour en savoir plus, consultez Associer un compte de service à une ressource.

Workload Identity Federation for GKE

Pour les charges de travail exécutées sur GKE, Workload Identity Federation for GKE vous permet d'accorder des rôles IAM à des ensembles distincts et précis de comptes principaux, pour chaque application de votre cluster. Workload Identity Federation for GKE permet aux comptes de service Kubernetes de votre cluster GKE d'accéder directement aux ressources Google Cloud, à l'aide de la fédération d'identité de charge de travail, ou indirectement, à l'aide de l'emprunt d'identité d'un compte de service IAM.

En utilisant l'accès direct aux ressources, vous pouvez accorder des rôles IAM à l'identité du compte de service Kubernetes directement sur les ressources du service Google Cloud . La plupart des API Google Cloud prennent en charge l'accès direct aux ressources. Toutefois, lorsque vous utilisez la fédération d'identité, certaines méthodes d'API peuvent présenter des limites. Pour obtenir la liste de ces limites, consultez Produits compatibles et limites.

Les charges de travail peuvent également utiliser l'emprunt d'identité d'un compte de service, où le compte de service Kubernetes configuré est lié à un compte de service IAM, qui sert d'identité pour accéder aux API Google Cloud.

Pour en savoir plus sur Workload Identity Federation for GKE, consultez la page Workload Identity Federation for GKE.

Identités de charge de travail gérées

Les identités de charge de travail gérées vous permettent d'associer des identités fortement certifiées à vos charges de travail Compute Engine et GKE. Vous pouvez utiliser des identités de charge de travail gérées pour authentifier vos charges de travail auprès d'autres charges de travail à l'aide de mTLS.

Pour en savoir plus sur les identités de charge de travail gérées, consultez Présentation des identités de charge de travail gérées.

Identités des agents

Une identité d'agent est une identité gérée par Google pour les charges de travail agentiques. L'identité d'un agent est attestée et liée au cycle de vie de l'agent, ce qui offre un moyen plus sécurisé de gérer l'accès des agents aux ressources Google Cloud que l'utilisation de comptes de service.

Les contrôles de gestion des accès existants via l'identité de l'agent IAM permettent une gouvernance forte.

Pour en savoir plus sur les identités d'agent et leur utilisation, consultez Utiliser l'identité d'agent avec Vertex AI Agent Engine.

Configurer des charges de travail externes

Si vous exécutez des charges de travail en dehors de Google Cloud, vous pouvez utiliser les méthodes suivantes pour configurer des identités pour vos charges de travail :

Fédération d'identité de charge de travail
Clés de compte de service

Fédération d'identité de charge de travail

Vous pouvez utiliser la fédération d'identité de charge de travail avec des charges de travail surGoogle Cloud ou des charges de travail externes qui s'exécutent sur des plates-formes telles qu'AWS, Azure, GitHub et GitLab.

La fédération d'identité de charge de travail vous permet d'utiliser des identifiants de fournisseurs d'identité externes tels qu'AWS, Azure et Active Directory pour générer des identifiants éphémères, qui permettent aux charges de travail d'emprunter l'identité des comptes de service de manière temporaire. Les charges de travail peuvent ensuite accéder aux ressources Google Clouden utilisant le compte de service comme identité.

La fédération d'identité de charge de travail est la méthode privilégiée pour configurer les identités pour les charges de travail externes.

Pour en savoir plus sur la fédération d'identité de charge de travail, consultez la page Fédération d'identité de charge de travail.

Clés de compte de service

Une clé de compte de service permet à une charge de travail de s'authentifier en tant que compte de service, puis d'utiliser l'identité du compte de service pour l'autorisation.

Remarque : Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites dans la section Bonnes pratiques pour la gestion des clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, il est possible que la création de clé de compte de service soit désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.

Si vous avez obtenu la clé de compte de service à partir d'une source externe, vous devez la valider avant de l'utiliser. Pour en savoir plus, consultez Exigences de sécurité pour les identifiants provenant de sources externes.

Développement local

Si vous développez dans un environnement local, vous pouvez configurer des charges de travail pour qu'elles utilisent vos identifiants utilisateur ou un compte de service pour l'authentification et l'autorisation. Pour en savoir plus, consultez la section Environnement de développement local dans la documentation d'authentification.

Étape suivante

Découvrez comment configurer l'authentification à l'aide de comptes de service.
Découvrez comment configurer l'authentification pour un environnement de développement local.
Découvrez comment accorder aux comptes de service l'accès aux ressources.