Halaman ini diterjemahkan oleh Cloud Translation API.

Identitas untuk workload

Halaman ini menjelaskan jenis identitas yang dapat Anda gunakan untuk mengonfigurasi akses beban kerja Anda ke resource Google Cloud .

Google Cloud menyediakan jenis identitas berikut untuk workload:

Workload Identity Federation dan Workload Identity Federation for GKE memungkinkan beban kerja Anda mengakses sebagian besar Google Cloud layanan menggunakan identitas gabungan yang diautentikasi melalui penyedia identitas (IdP) eksternal. Setelah Google Cloud mengautentikasi identitas sebagai akun utama, akun utama dapat mengakses resource menggunakan peran IAM yang Anda berikan.
Google Cloud Akun layanan dapat bertindak sebagai identitas untuk workload di lingkungan produksi. Alih-alih memberikan akses ke workload secara langsung, Anda dapat memberikan akses ke akun layanan, kemudian meminta workload menggunakan akun layanan sebagai identitasnya.
Managed workload identities (Pratinjau) memungkinkan Anda mengikat identitas yang dibuktikan secara kuat ke beban kerja Compute Engine dan GKE.
Identitas agen (Pratinjau) adalah identitas yang dikelola Google untuk beban kerja agentik. Identitas agen dibuktikan dan terkait dengan siklus proses agen. Cara ini memberikan cara yang lebih aman untuk mengelola akses agen ke resource Google Cloud daripada menggunakan akun layanan.

Jenis identitas yang dapat Anda gunakan untuk workload dan cara Anda mengonfigurasinya bergantung pada tempat workload Anda berjalan.

Mengonfigurasi workload di Google Cloud

Jika menjalankan workload di Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload Anda:

Akun layanan terlampir
Workload Identity Federation for GKE (khusus untuk workload yang berjalan di Google Kubernetes Engine)
Identitas workload terkelola (khusus untuk workload yang berjalan di Compute Engine dan GKE)
Kunci akun layanan

Akun layanan terlampir

Untuk beberapa resource Google Cloud , Anda dapat menentukan akun layanan yang dikelola pengguna yang digunakan resource sebagai identitas defaultnya. Proses ini disebut melampirkan akun layanan ke resource, atau mengaitkan akun layanan dengan resource. Saat kode yang berjalan pada resource mengakses layanan dan resource, kode tersebut akan menggunakan akun layanan yang terkait dengan resource tersebut sebagai identitasnya. Google Cloud Misalnya, jika Anda melampirkan akun layanan ke instance Compute Engine, dan aplikasi pada instance tersebut menggunakan library klien untuk memanggil Google Cloud API, aplikasi tersebut akan otomatis menggunakan akun layanan yang terpasang untuk autentikasi dan otorisasi.

Pada umumnya, Anda harus melampirkan akun layanan ke resource saat membuat resource tersebut. Setelah resource dibuat, Anda tidak dapat mengubah akun layanan yang dilampirkan ke resource tersebut. Instance Compute Engine dikecualikan untuk peraturan ini, Anda dapat mengubah akun layanan yang dilampirkan ke instance jika diperlukan.

Untuk mempelajari lebih lanjut, lihat Melampirkan akun layanan ke resource.

Workload Identity Federation untuk GKE

Untuk workload yang berjalan di GKE, Workload Identity Federation untuk GKE memungkinkan Anda memberikan peran IAM ke kumpulan pokok yang berbeda dan terperinci, untuk setiap aplikasi di cluster Anda. Dengan Workload Identity Federation for GKE, akun layanan Kubernetes di cluster GKE Anda dapat mengakses resource secara langsung, dengan menggunakan Workload Identity Federation, atau secara tidak langsung, dengan menggunakan peniruan identitas akun layanan IAM. Google Cloud

Dengan menggunakan akses resource langsung, Anda dapat memberikan peran IAM ke identitas akun layanan Kubernetes secara langsung di resource layanan Google Cloud . Sebagian besar Google Cloud API mendukung akses resource langsung. Namun, saat menggunakan federasi identitas, metode API tertentu mungkin memiliki batasan. Untuk daftar batasan ini, lihat Produk dan batasan yang didukung.

Sebagai alternatif, workload juga dapat menggunakan peniruan identitas akun layanan, dengan akun layanan Kubernetes yang dikonfigurasi terikat ke akun layanan IAM, yang berfungsi sebagai identitas saat mengakses Google Cloud API.

Untuk mempelajari lebih lanjut Workload Identity Federation untuk GKE, lihat Workload Identity Federation untuk GKE.

Identitas workload terkelola

Dengan identitas workload terkelola, Anda dapat mengikat identitas yang dibuktikan secara kuat ke beban kerja Compute Engine dan GKE. Anda dapat menggunakan identitas workload terkelola untuk mengautentikasi workload Anda ke workload lain menggunakan mTLS.

Untuk mempelajari lebih lanjut identitas workload terkelola, lihat Ringkasan identitas workload terkelola.

Identitas agen

Identitas agen adalah identitas yang dikelola Google untuk beban kerja agen. Identitas agen dibuktikan dan dikaitkan dengan siklus proses agen, yang memberikan cara yang lebih aman untuk mengelola akses agen ke resource Google Cloud daripada menggunakan akun layanan.

Kontrol pengelolaan akses yang ada melalui IAM mendukung identitas agen untuk memungkinkan tata kelola yang kuat.

Untuk mempelajari lebih lanjut identitas agen dan cara menggunakannya, lihat Menggunakan identitas agen dengan Vertex AI Agent Engine.

Mengonfigurasi workload eksternal

Jika menjalankan workload di luar Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload Anda:

Workload Identity Federation
Kunci akun layanan

Workload Identity Federation

Anda dapat menggunakan Workload Identity Federation dengan beban kerja di Google Cloud atau beban kerja eksternal yang berjalan di platform seperti AWS, Azure, GitHub, dan GitLab.

Workload Identity Federation memungkinkan Anda menggunakan kredensial dari penyedia identitas eksternal seperti AWS, Azure, dan Active Directory untuk membuat kredensial berumur pendek, yang dapat digunakan workload untuk meniru identitas akun layanan untuk sementara. Selanjutnya, beban kerja dapat mengakses resource Google Cloud menggunakan akun layanan sebagai identitasnya.

Workload Identity Federation adalah cara yang lebih disukai dalam mengonfigurasi identitas untuk workload eksternal.

Untuk mempelajari Workload Identity Federation lebih lanjut, lihat Workload Identity Federation.

Kunci akun layanan

Kunci akun layanan memungkinkan workload diautentikasi sebagai akun layanan, lalu menggunakan identitas akun layanan untuk otorisasi.

Catatan: Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus mengautentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan atas operasi lain yang dijelaskan dalam Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.

Jika Anda mendapatkan kunci akun layanan dari sumber eksternal, Anda harus memvalidasinya sebelum digunakan. Untuk mengetahui informasi selengkapnya, lihat Persyaratan keamanan untuk kredensial yang bersumber dari luar.

Pengembangan lokal

Jika melakukan pengembangan di lingkungan lokal, Anda dapat mengonfigurasi workload untuk menggunakan kredensial pengguna atau akun layanan untuk autentikasi dan otorisasi. Untuk mengetahui informasi selengkapnya, lihat Lingkungan pengembangan lokal dalam dokumentasi autentikasi.

Langkah berikutnya

Pelajari cara menyiapkan autentikasi menggunakan akun layanan.
Pelajari cara menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Pelajari cara memberikan akun layanan akses ke resource.