Identitäten für Arbeitslasten

Auf dieser Seite werden die Identitätstypen beschrieben, mit denen Sie den Zugriff Ihrer Arbeitslasten auf Google Cloud Ressourcen konfigurieren können.

Google Cloud bietet die folgenden Arten von Identitäten für Arbeitslasten:

Mit Workload Identity-Föderation und Workload Identity Federation for GKE können Ihre Arbeitslasten auf die meisten Google Cloud Dienste zugreifen. Dazu werden föderierte Identitäten verwendet, die über einen externen Identitätsanbieter (IdP) authentifiziert werden. Nachdem Google Cloud die Identität als Prinzipal authentifiziert wurde, kann der Prinzipal mit den von Ihnen gewährten IAM-Rollen auf Ressourcen zugreifen.
Google Cloud Dienstkonten können als Identitäten für Arbeitslasten in Produktionsumgebungen fungieren. Anstatt direkt auf eine Arbeitslast Zugriff zu erteilen, gewähren Sie Zugriff auf ein Dienstkonto und lassen die Arbeitslast dann das Dienstkonto als Identität verwenden.
Mit **verwalteten Arbeitslastidentitäten** können Sie stark attestierte Identitäten an Ihre Compute Engine- und GKE-Arbeitslasten binden.
**Agent-Identitäten** sind von Google verwaltete Identitäten für agentische Arbeitslasten. Agent-Identitäten werden attestiert und sind an den Lebenszyklus der Agenten gebunden. Dies bietet eine sicherere Möglichkeit, den Zugriff von Agenten auf Google Cloud Ressourcen zu verwalten, als die Verwendung von Dienstkonten.

Die Arten von Identitäten, die Sie für Arbeitslasten verwenden können, und die Art und Weise, wie Sie sie konfigurieren, hängen davon ab, wo Ihre Arbeitslasten ausgeführt werden.

Arbeitslasten in konfigurieren Google Cloud

Wenn Sie Arbeitslasten in Google Cloudausführen, können Sie mit den folgenden Methoden Identitäten für Ihre Arbeitslasten konfigurieren:

Angehängte Dienstkonten
Workload Identity Federation for GKE (nur für Arbeitslasten, die in Google Kubernetes Engine ausgeführt werden)
Verwaltete Arbeitslastidentitäten (nur für Arbeitslasten, die in Compute Engine und GKE ausgeführt werden)
Dienstkontoschlüssel

Angehängte Dienstkonten

Bei einigen Google Cloud Ressourcen können Sie ein nutzerverwaltetes Dienstkonto angeben, das von der Ressource als Standardidentität verwendet wird. Dieser Vorgang wird als Anhängen des Dienstkontos an die Ressource oder Verknüpfen des Dienstkontos mit der Ressource bezeichnet. Wenn Code, der auf der Ressource ausgeführt wird, auf Google Cloud Dienste und Ressourcen zugreift, verwendet er das Dienstkonto, das an die Ressource angehängt ist, als Identität. Beispiel: Sie hängen ein Dienstkonto an eine Compute Engine-Instanz an und die Anwendungen auf der Instanz verwenden eine Clientbibliothek, um Google Cloud APIs aufzurufen. Diese Anwendungen verwenden automatisch das angehängte Dienstkonto für die Authentifizierung und Autorisierung.

In den meisten Fällen müssen Sie beim Erstellen einer Ressource ein Dienstkonto an eine Ressource anhängen. Nachdem die Ressource erstellt wurde, können Sie nicht mehr ändern, welches Dienstkonto an der Ressource angehängt ist. Compute Engine-Instanzen sind eine Ausnahme von dieser Regel. Sie können je nach Bedarf ändern, welches Dienstkonto an eine Instanz angehängt ist.

Weitere Informationen zu Dienstkonto an eine Ressource anhängen.

Workload Identity Federation for GKE

Bei Arbeitslasten, die in GKE ausgeführt werden, können Sie mit Workload Identity Federation for GKE IAM-Rollen für separate, detaillierte Gruppen von Hauptkonten für jede Anwendung in Ihrem Cluster gewähren. Mit Workload Identity Federation for GKE können Kubernetes Dienstkonten in Ihrem GKE-Cluster direkt über die Workload Identity-Föderation oder indirekt über die Identitätsübernahme von IAM-Dienstkonten auf Google Cloud Ressourcen zugreifen.

Durch den direkten Ressourcenzugriff können Sie dem Kubernetes-Dienstkonto direkt IAM-Rollen für die Google Cloud Ressourcen des Dienstes gewähren. Die meisten Google Cloud APIs unterstützen den direkten Ressourcenzugriff. Bei der Verwendung der Identitätsföderation können jedoch bestimmte API-Methoden Einschränkungen unterliegen. Eine Liste dieser Einschränkungen finden Sie unter Unterstützte Produkte und Einschränkungen.

Alternativ können Arbeitslasten auch die Identitätsübernahme von Dienstkonten verwenden. Dabei ist das konfigurierte Kubernetes-Dienstkonto an ein IAM-Dienstkonto gebunden, das als Identität für den Zugriff auf Google CloudAPIs dient.

Weitere Informationen zu Workload Identity Federation for GKE finden Sie unter Workload Identity Federation for GKE.

Verwaltete Arbeitslastidentitäten

Mit verwalteten Arbeitslastidentitäten können Sie stark attestierte Identitäten an Ihre Compute Engine- und GKE-Arbeitslasten binden. Mit verwalteten Arbeitslastidentitäten können Sie Ihre Arbeitslasten über mTLSbei anderen Arbeitslasten authentifizieren.

Weitere Informationen zu verwalteten Arbeitslastidentitäten finden Sie unter Übersicht über verwaltete Arbeitslastidentitäten.

Agent-Identitäten

Eine Agent-Identität ist eine von Google verwaltete Identität für agentische Arbeitslasten. Eine Agentenidentität wird attestiert und ist an den Lebenszyklus des Agenten gebunden. Dies bietet eine sicherere Möglichkeit, den Zugriff von Agenten auf Google Cloud Ressourcen zu verwalten, als die Verwendung von Dienstkonten.

Vorhandene Zugriffssteuerungen über IAM unterstützen Agent-Identitäten, um eine starke Governance zu ermöglichen.

Weitere Informationen zu Agent-Identitäten und ihrer Verwendung finden Sie unter Agent-Identität mit der Agent Platform Agent Engine verwenden.

Externe Arbeitslasten konfigurieren

Wenn Sie Arbeitslasten außerhalb von Google Cloudausführen, können Sie mit den folgenden Methoden Identitäten für Ihre Arbeitslasten konfigurieren:

Workload Identity-Föderation
Dienstkontoschlüssel

Workload Identity-Föderation

Sie können Workload Identity-Föderation mit Arbeitslasten in Google Cloud oder mit externen Arbeitslasten verwenden, die auf Plattformen wie AWS, Azure, GitHub und GitLab ausgeführt werden.

Mit der Identitätsföderation von Arbeitslasten können Sie Anmeldedaten von externen Identitäts anbietern wie AWS, Azure und Active Directory verwenden, um kurzlebige Anmeldedaten zu generieren, mit denen Arbeitslasten vorübergehend die Identität von Dienstkonten übernehmen können. Arbeitslasten können dann über das Dienstkonto als Identität auf Google Cloud Ressourcen zugreifen.

Die Identitätsföderation von Arbeitslasten ist die bevorzugte Methode zum Konfigurieren von Identitäten für externe Arbeitslasten.

Weitere Informationen zur Workload Identity-Föderation finden Sie unter Workload Identity-Föderation.

Dienstkontoschlüssel

Mit einem Dienstkontoschlüssel kann sich eine Arbeitslast als Dienstkonto authentifizieren und dann die Identität des Dienstkontos für die Autorisierung verwenden.

Hinweis: Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Sie sollten nach Möglichkeit eine sicherere Alternative zu Dienstkontoschlüsseln auswählen. Wenn Sie sich mit einem Dienstkontoschlüssel authentifizieren müssen, sind Sie für die Sicherheit des privaten Schlüssels und für andere Vorgänge verantwortlich, die unter Best Practices für die Verwaltung von Dienstkontoschlüsseln beschrieben werden. Wenn Sie keinen Dienstkontoschlüssel erstellen können, ist das Erstellen von Dienstkontoschlüsseln für Ihre Organisation möglicherweise deaktiviert. Weitere Informationen finden Sie unter Standardmäßig sichere Organisationsressourcen verwalten.

Wenn Sie den Dienstkontoschlüssel von einer externen Quelle erhalten haben, müssen Sie ihn vor der Verwendung validieren. Weitere Informationen finden Sie unter Sicherheitsanforderungen für Anmeldedaten aus externen Quellen.

Lokale Entwicklung

Wenn Sie Entwicklungen in einer lokalen Umgebung durchführen, können Sie Arbeitslasten so konfigurieren, dass entweder Ihre Nutzeranmeldedaten oder ein Dienstkonto zur Authentifizierung und Autorisierung verwendet werden. Weitere Informationen finden Sie in der Authentifizierungsdokumentation im Artikel Lokale Entwicklungsumgebung.

Identitäten für Arbeitslasten Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.