Identitas untuk workload

Halaman ini menjelaskan jenis identitas yang dapat Anda gunakan untuk mengonfigurasi akses workload ke Google Cloud resource.

Google Cloud menyediakan jenis identitas berikut untuk workload:

  • Workload Identity Federation dan Workload Identity Federation for GKE memungkinkan workload Anda mengakses sebagian besar Google Cloud layanan menggunakan identitas gabungan yang diautentikasi melalui penyedia identitas (IdP) eksternal. Setelah Google Cloud mengautentikasi identitas sebagai principal, principal dapat mengakses resource menggunakan peran IAM yang Anda berikan.

  • Google Cloud **akun layanan** dapat bertindak sebagai identitas untuk workload di lingkungan produksi. Alih-alih memberikan akses ke workload secara langsung, Anda dapat memberikan akses ke akun layanan, kemudian meminta workload menggunakan akun layanan sebagai identitasnya.

  • **Identitas workload terkelola** memungkinkan Anda mengikat identitas yang dibuktikan dengan kuat ke workload Compute Engine dan GKE.

  • **Identitas agen** adalah identitas yang dikelola Google untuk workload agen. Identitas agen dibuktikan dan terikat dengan siklus proses agen. Hal ini memberikan cara yang lebih aman untuk mengelola akses agen ke Google Cloud resource daripada menggunakan akun layanan.

Jenis identitas yang dapat Anda gunakan untuk workload dan cara Anda mengonfigurasinya bergantung pada tempat workload Anda berjalan.

Mengonfigurasi workload di Google Cloud

Jika menjalankan workload di Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload Anda:

  • Akun layanan terlampir
  • Workload Identity Federation for GKE (khusus untuk workload yang berjalan di Google Kubernetes Engine)
  • Identitas workload terkelola (khusus untuk workload yang berjalan di Compute Engine dan GKE)
  • Kunci akun layanan

Akun layanan terlampir

Untuk beberapa Google Cloud resource, Anda dapat menentukan akun layanan yang dikelola pengguna yang digunakan resource sebagai identitas default. Proses ini disebut melampirkan akun layanan ke resource, atau mengaitkan akun layanan dengan resource. Saat kode yang berjalan di resource mengakses Google Cloud layanan dan resource, kode tersebut menggunakan akun layanan yang dilampirkan ke resource sebagai identitasnya. Misalnya, jika Anda melampirkan akun layanan ke instance Compute Engine, dan aplikasi pada instance tersebut menggunakan library klien untuk memanggil Google Cloud API, aplikasi tersebut akan otomatis menggunakan akun layanan yang terpasang untuk autentikasi dan otorisasi.

Pada umumnya, Anda harus melampirkan akun layanan ke resource saat membuat resource tersebut. Setelah resource dibuat, Anda tidak dapat mengubah akun layanan yang dilampirkan ke resource tersebut. Instance Compute Engine dikecualikan untuk peraturan ini, Anda dapat mengubah akun layanan yang dilampirkan ke instance jika diperlukan.

Untuk mempelajari lebih lanjut, lihat Melampirkan akun layanan ke resource.

Workload Identity Federation for GKE

Untuk workload yang berjalan di GKE, Workload Identity Federation for GKE memungkinkan Anda memberikan peran IAM ke kumpulan principal yang berbeda dan terperinci, untuk setiap aplikasi di cluster Anda. Workload Identity Federation for GKE memungkinkan akun layanan Kubernetes di cluster GKE Anda mengakses Google Cloud resource secara langsung, menggunakan Workload Identity Federation, atau secara tidak langsung, menggunakan peniruan identitas akun layanan IAM.

Dengan menggunakan akses resource langsung, Anda dapat memberikan peran IAM ke identitas akun layanan Kubernetes langsung di Google Cloud resource layanan. Sebagian besar Google Cloud API mendukung akses resource langsung. Namun, saat menggunakan identity federation, metode API tertentu mungkin memiliki batasan. Untuk mengetahui daftar batasan ini, lihat Produk dan batasan yang didukung.

Sebagai alternatif, workload juga dapat menggunakan peniruan identitas akun layanan, dengan ServiceAccount Kubernetes yang dikonfigurasi terikat ke akun layanan IAM, yang berfungsi sebagai identitas saat mengakses Google Cloud API.

Untuk mempelajari Workload Identity Federation for GKE lebih lanjut, lihat Workload Identity Federation for GKE.

Identitas workload terkelola

Identitas workload terkelola memungkinkan Anda mengikat identitas yang dibuktikan dengan kuat ke workload Compute Engine dan GKE. Anda dapat menggunakan identitas workload terkelola untuk mengautentikasi workload Anda ke workload lain menggunakan mTLS.

Untuk mempelajari identitas workload terkelola lebih lanjut, lihat Ringkasan identitas workload terkelola.

Identitas agen

Identitas agen adalah identitas yang dikelola Google untuk workload agen. Identitas agen dibuktikan dan terikat dengan siklus proses agen, yang memberikan cara yang lebih aman untuk mengelola akses agen ke resource daripada menggunakan akun layanan. Google Cloud

Kontrol pengelolaan akses yang ada melalui IAM mendukung identitas agen untuk memungkinkan tata kelola yang kuat.

Untuk mempelajari identitas agen dan cara menggunakannya lebih lanjut, lihat Menggunakan identitas agen dengan Runtime Agen.

Mengonfigurasi workload eksternal

Jika menjalankan workload di luar Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload Anda:

  • Workload Identity Federation
  • Kunci akun layanan

Workload Identity Federation

Anda dapat menggunakan Workload Identity Federation dengan workload di Google Cloud atau workload eksternal yang berjalan di platform seperti AWS, Azure, GitHub, dan GitLab.

Workload Identity Federation memungkinkan Anda menggunakan kredensial dari penyedia identitas eksternal seperti AWS, Azure, dan Active Directory untuk membuat kredensial berumur pendek, yang dapat digunakan workload untuk meniru identitas akun layanan untuk sementara. Selanjutnya, workload dapat mengakses Google Cloud resource, menggunakan akun layanan sebagai identitasnya.

Workload Identity Federation adalah cara yang lebih disukai dalam mengonfigurasi identitas untuk workload eksternal.

Untuk mempelajari Workload Identity Federation lebih lanjut, lihat Workload Identity Federation.

Kunci akun layanan

Kunci akun layanan memungkinkan workload diautentikasi sebagai akun layanan, lalu menggunakan identitas akun layanan untuk otorisasi.

Pengembangan lokal

Jika melakukan pengembangan di lingkungan lokal, Anda dapat mengonfigurasi workload untuk menggunakan kredensial pengguna atau akun layanan untuk autentikasi dan otorisasi. Untuk mengetahui informasi selengkapnya, lihat Lingkungan pengembangan lokal dalam dokumentasi autentikasi.

Langkah berikutnya