Identità per i carichi di lavoro

Questa pagina descrive i tipi di identità che puoi utilizzare per configurare l'accesso dei tuoi carichi di lavoro alle risorse Google Cloud .

Google Cloud fornisce i seguenti tipi di identità per i workload:

Workload Identity Federation e Workload Identity Federation for GKE consentono ai tuoi workload di accedere alla maggior parte dei servizi Google Cloud utilizzando identità federate autenticate tramite un provider di identità (IdP) esterno. Dopo che Google Cloud autentica l'identità come entità, quest'ultima può accedere alle risorse utilizzando i ruoli IAM che concedi.
I service account possono fungere da identità per i workload negli ambienti di produzione.Google Cloud Anziché concedere l'accesso direttamente a un carico di lavoro, concedi l'accesso a un account di servizio e poi fai in modo che il carico di lavoro utilizzi l'account di servizio come identità.
Le identità dei workload gestite (anteprima) consentono di associare identità con attestazione forte ai workload di Compute Engine e GKE.
Le identità degli agenti (anteprima) sono identità gestite da Google per i carichi di lavoro degli agenti. Le identità degli agenti sono attestate e legate al ciclo di vita degli agenti. Questo fornisce un modo più sicuro per gestire l'accesso dell'agente alle risorse Google Cloud rispetto all'utilizzo dei service account.

I tipi di identità che puoi utilizzare per i carichi di lavoro e il modo in cui configurarli dipendono da dove vengono eseguiti i carichi di lavoro.

Configura i workload su Google Cloud

Se esegui workload su Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità per i tuoi workload:

Service account collegati
Workload Identity Federation for GKE (solo per i workload in esecuzione su Google Kubernetes Engine)
Identità dei workload gestite (solo per i workload eseguiti su Compute Engine e GKE)
Chiavi account di servizio

Service account collegati

Per alcune Google Cloud risorse, puoi specificare un account di servizio gestito dall'utente che la risorsa utilizza come identità predefinita. Questa procedura è nota come collegamento del service account alla risorsa o associazione del account di servizio alla risorsa. Quando il codice in esecuzione sulla risorsa accede ai servizi e alle risorse di Google Cloud , utilizza il account di servizio collegato alla risorsa come identità. Ad esempio, se colleghi un account di servizio a un'istanza Compute Engine e le applicazioni sull'istanza utilizzano una libreria client per chiamare le API Google Cloud , queste applicazioni utilizzano automaticamente il account di servizio collegato per l'autenticazione e l'autorizzazione.

Nella maggior parte dei casi, devi collegare un account di servizio a una risorsa quando la crei. Dopo la creazione della risorsa, non puoi modificare l'account di servizio associato alla risorsa. Le istanze Compute Engine fanno eccezione a questa regola: puoi modificare il account di servizio collegato a un'istanza in base alle esigenze.

Per saperne di più, consulta Collegare un account di servizio a una risorsa.

Workload Identity Federation for GKE

Per i workload eseguiti su GKE, Workload Identity Federation for GKE ti consente di concedere ruoli IAM a insiemi di entità distinti e granulari per ogni applicazione nel tuo cluster. Workload Identity Federation for GKE consente ai service account Kubernetes nel tuo cluster GKE di accedere alle risorse direttamente, utilizzando Workload Identity Federation, o indirettamente, utilizzando la simulazione dell'identità del account di servizio IAM. Google Cloud

Utilizzando l'accesso diretto alle risorse, puoi concedere ruoli IAM all'identità del account di servizio Kubernetes direttamente sulle risorse del servizio Google Cloud . La maggior parte delle Google Cloud API supporta l'accesso diretto alle risorse. Tuttavia, quando utilizzi la federazione delle identità, alcuni metodi API potrebbero presentare limitazioni. Per un elenco di queste limitazioni, consulta Prodotti supportati e limitazioni.

In alternativa, i carichi di lavoro possono utilizzare anche la simulazione dell'identità del account di servizio, in cui il service account Kubernetes configurato è associato a un account di servizio IAM, che funge da identità per l'accesso alle API Google Cloud.

Per saperne di più su Workload Identity Federation for GKE, consulta Workload Identity Federation for GKE.

Workload Identity gestite

Le identità dei workload gestite consentono di associare identità con attestazione forte ai workload di Compute Engine e GKE. Puoi utilizzare le workload identity gestite per autenticare i tuoi workload con altri workload utilizzando mTLS.

Per scoprire di più sulle identità dei workload gestite, consulta la panoramica delle identità dei workload gestite.

Identità degli agenti

Un'identità agente è un'identità gestita da Google per i workload agentici. L'identità di un agente viene attestata e collegata al ciclo di vita dell'agente, il che fornisce un modo più sicuro per gestire l'accesso dell'agente alle risorse Google Cloud rispetto all'utilizzo dei service account.

I controlli di gestione dell'accesso esistenti tramite l'identità dell'agente di assistenza IAM permettono una governance efficace.

Per saperne di più sulle identità degli agenti e su come utilizzarle, consulta Utilizzare l'identità dell'agente con Vertex AI Agent Engine.

Configura i workload esterni

Se esegui workload al di fuori di Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità per i tuoi workload:

Federazione delle identità per i workload
Chiavi account di servizio

Federazione delle identità per i workload

Puoi utilizzare la federazione delle identità per i carichi di lavoro con i carichi di lavoro suGoogle Cloud o con carichi di lavoro esterni eseguiti su piattaforme come AWS, Azure, GitHub e GitLab.

La federazione delle identità per i carichi di lavoro consente di utilizzare le credenziali di provider di identità esterni come AWS, Azure e Active Directory per generare credenziali di breve durata, che i carichi di lavoro possono utilizzare per rappresentare temporaneamente gli account di servizio. I carichi di lavoro possono quindi accedere alle risorse Google Cloudutilizzando il account di servizio come identità.

La federazione delle identità per i workload è il modo preferito per configurare le identità per i workload esterni.

Per scoprire di più sulla federazione delle identità per i workload, consulta Federazione delle identità per i workload.

Chiavi account di servizio

Una chiave del account di servizio consente a un carico di lavoro di autenticarsi come account di servizio, quindi di utilizzare l'identità del account di servizio per l'autorizzazione.

Nota: le chiavi dei service account comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi del service account quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte in Best practice per la gestione delle chiavi dei service account. Se non riesci a creare una chiave del service account, la creazione di chiavi del service account potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, vedi Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Se hai acquisito la chiave del service account da una fonte esterna, devi convalidarla prima dell'utilizzo. Per maggiori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.

Sviluppo locale

Se sviluppi in un ambiente locale, puoi configurare i carichi di lavoro in modo che utilizzino le tue credenziali utente o unaccount di serviziot per l'autenticazione e l'autorizzazione. Per saperne di più, consulta Ambiente di sviluppo locale nella documentazione sull'autenticazione.

Passaggi successivi

Scopri come configurare l'autenticazione utilizzando i service account.
Scopri come configurare l'autenticazione per un ambiente di sviluppo locale.
Scopri come concedere ai service account l'accesso alle risorse.