Diese Seite wurde von der Cloud Translation API übersetzt.

Identitäten für Arbeitslasten

Auf dieser Seite werden die Identitätstypen beschrieben, mit denen Sie den Zugriff Ihrer Arbeitslasten auf Google Cloud Ressourcen konfigurieren können.

Google Cloud bietet die folgenden Arten von Identitäten für Arbeitslasten:

Mit der Identitätsföderation von Arbeitslasten und der Identitätsföderation von Arbeitslasten für GKE können Ihre Arbeitslasten auf die meisten Google Cloud Dienste zugreifen. Dazu werden föderierte Identitäten verwendet, die über einen externen Identitätsanbieter (IdP) authentifiziert werden. NachdemGoogle Cloud die Identität als Hauptkonto authentifiziert hat, kann das Hauptkonto mit den von Ihnen gewährten IAM-Rollen auf Ressourcen zugreifen.
Google Cloud Dienstkonten können als Identitäten für Arbeitslasten in Produktionsumgebungen fungieren. Anstatt direkt auf eine Arbeitslast Zugriff zu erteilen, gewähren Sie einen Zugriff auf ein Dienstkonto und lassen die Arbeitslast dann das Dienstkonto als Identität verwenden.
Mit verwalteten Arbeitslastidentitäten (Vorabversion) können Sie stark attestierte Identitäten an Ihre Compute Engine- und GKE-Arbeitslasten binden.
Agent-Identitäten (Vorabversion) sind von Google verwaltete Identitäten für Agent-Arbeitslasten. Agent-Identitäten werden bestätigt und sind an den Lebenszyklus der Agents gebunden. So lässt sich der Zugriff von Agents auf Google Cloud-Ressourcen sicherer verwalten als mit Dienstkonten.

Welche Arten von Identitäten Sie für Arbeitslasten verwenden können und wie Sie sie konfigurieren, hängt davon ab, wo Ihre Arbeitslasten ausgeführt werden.

Arbeitslasten auf Google Cloudkonfigurieren

Wenn Sie Arbeitslasten auf Google Cloudausführen, können Sie mit den folgenden Methoden Identitäten für Ihre Arbeitslasten konfigurieren:

Angehängte Dienstkonten
Workload Identity-Föderation für GKE (nur für Arbeitslasten, die in Google Kubernetes Engine ausgeführt werden)
Verwaltete Arbeitslastidentitäten (nur für Arbeitslasten, die in Compute Engine und GKE ausgeführt werden)
Dienstkontoschlüssel

Angehängte Dienstkonten

Bei einigen Google Cloud -Ressourcen können Sie ein nutzerverwaltetes Dienstkonto angeben, das von der Ressource als Standardidentität verwendet wird. Dieser Vorgang wird als Anhängen des Dienstkontos an die Ressource oder Verknüpfen des Dienstkontos mit der Ressource bezeichnet. Wenn Code, der auf der Ressource ausgeführt wird, auf Google Cloud -Dienste und -Ressourcen zugreift, verwendet er das an die Ressource angehängte Dienstkonto als Identität. Wenn Sie beispielsweise ein Dienstkonto an eine Compute Engine-Instanz anhängen und die Anwendungen auf der Instanz eine Clientbibliothek verwenden, um Google Cloud -APIs aufzurufen, verwenden diese Anwendungen automatisch das angehängte Dienstkonto für die Authentifizierung und Autorisierung.

In den meisten Fällen müssen Sie beim Erstellen einer Ressource ein Dienstkonto an eine Ressource anhängen. Nachdem die Ressource erstellt wurde, können Sie nicht mehr ändern, welches Dienstkonto an der Ressource angehängt ist. Compute Engine-Instanzen sind eine Ausnahme von dieser Regel. Sie können je nach Bedarf ändern, welches Dienstkonto an eine Instanz angehängt ist.

Weitere Informationen zu Dienstkonto an eine Ressource anhängen.

Workload Identity Federation for GKE

Bei Arbeitslasten, die in GKE ausgeführt werden, können Sie mit der Workload Identity-Föderation für GKE jeder Anwendung in Ihrem Cluster IAM-Rollen für separate, detaillierte Gruppen von Hauptkonten zuweisen. Mit Workload Identity Federation for GKE können Kubernetes-Dienstkonten in Ihrem GKE-Cluster direkt über die Workload Identity-Föderation oder indirekt über die Identitätsübernahme von IAM-Dienstkonten auf Google Cloud-Ressourcen zugreifen.

Wenn Sie den direkten Ressourcenzugriff verwenden, können Sie dem Kubernetes-Dienstkonto direkt IAM-Rollen für die Ressourcen des Google Cloud -Dienstes zuweisen. Die meisten Google Cloud APIs unterstützen den direkten Ressourcenzugriff. Bei der Verwendung der Identitätsföderation können jedoch für bestimmte API-Methoden Einschränkungen gelten. Eine Liste dieser Einschränkungen finden Sie unter Unterstützte Produkte und Einschränkungen.

Alternativ können Arbeitslasten auch die Identitätsübernahme von Dienstkonten verwenden. Dabei wird das konfigurierte Kubernetes-ServiceAccount an ein IAM-Dienstkonto gebunden, das als Identität beim Zugriff auf Google Cloud-APIs dient.

Weitere Informationen zur Identitätsföderation von Arbeitslasten für GKE finden Sie unter Identitätsföderation von Arbeitslasten für GKE.

Verwaltete Arbeitslastidentitäten

Mit verwalteten Arbeitslastidentitäten können Sie stark attestierte Identitäten an Ihre Compute Engine- und GKE-Arbeitslasten binden. Sie können verwaltete Arbeitslastidentitäten verwenden, um Ihre Arbeitslasten über mTLS bei anderen Arbeitslasten zu authentifizieren.

Weitere Informationen zu verwalteten Arbeitslastidentitäten finden Sie unter Übersicht über verwaltete Arbeitslastidentitäten.

Agent-Identitäten

Eine Agent-Identität ist eine von Google verwaltete Identität für Agent-Arbeitslasten. Die Identität eines Agents wird bestätigt und an den Lebenszyklus des Agents gebunden. Dies bietet eine sicherere Möglichkeit, den Zugriff von Agents auf Google Cloud Ressourcen zu verwalten, als die Verwendung von Dienstkonten.

Vorhandene Zugriffsverwaltungsfunktionen über die IAM-Support-Agent-Identität ermöglichen eine starke Governance.

Weitere Informationen zu Agent-Identitäten und ihrer Verwendung finden Sie unter Agent-Identität mit Vertex AI Agent Engine verwenden.

Externe Arbeitslasten konfigurieren

Wenn Sie Arbeitslasten außerhalb von Google Cloudausführen, können Sie mit den folgenden Methoden Identitäten für Ihre Arbeitslasten konfigurieren:

Workload Identity-Föderation
Dienstkontoschlüssel

Workload Identity-Föderation

Sie können die Workload Identity-Föderation mit Arbeitslasten aufGoogle Cloud oder mit externen Arbeitslasten verwenden, die auf Plattformen wie AWS, Azure, GitHub und GitLab ausgeführt werden.

Mit der Identitätsföderation von Arbeitslasten können Sie Anmeldedaten von externen Identitätsanbietern wie AWS, Azure und Active Directory verwenden, um kurzlebige Anmeldedaten zu generieren, mit denen Arbeitslasten vorübergehend die Identität von Dienstkonten übernehmen können. Arbeitslasten können dann über das Dienstkonto als Identität auf Google Cloud-Ressourcen zugreifen.

Die Identitätsföderation von Arbeitslasten ist die bevorzugte Methode zum Konfigurieren von Identitäten für externe Arbeitslasten.

Weitere Informationen zur Identitätsföderation von Arbeitslasten finden Sie unter Identitätsföderation von Arbeitslasten.

Dienstkontoschlüssel

Mit einem Dienstkontoschlüssel kann sich eine Arbeitslast als Dienstkonto authentifizieren und dann die Identität des Dienstkontos für die Autorisierung verwenden.

Hinweis :Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Sie sollten nach Möglichkeit eine sicherere Alternative zu Dienstkontoschlüsseln auswählen. Wenn Sie sich mit einem Dienstkontoschlüssel authentifizieren müssen, sind Sie für die Sicherheit des privaten Schlüssels und für andere Vorgänge verantwortlich, die unter Best Practices für die Verwaltung von Dienstkontoschlüsseln beschrieben werden. Wenn Sie keinen Dienstkontoschlüssel erstellen können, ist das Erstellen von Dienstkontoschlüsseln für Ihre Organisation möglicherweise deaktiviert. Weitere Informationen finden Sie unter Standardmäßig sichere Organisationsressourcen verwalten.

Wenn Sie den Dienstkontoschlüssel von einer externen Quelle erhalten haben, müssen Sie ihn vor der Verwendung validieren. Weitere Informationen finden Sie unter Sicherheitsanforderungen für Anmeldedaten aus externen Quellen.

Lokale Entwicklung

Wenn Sie Entwicklungen in einer lokalen Umgebung durchführen, können Sie Arbeitslasten so konfigurieren, dass entweder Ihre Nutzeranmeldedaten oder ein Dienstkonto zur Authentifizierung und Autorisierung verwendet werden. Weitere Informationen finden Sie in der Authentifizierungsdokumentation unter Lokale Entwicklungsumgebung.