Auf dieser Seite werden die Identitätstypen beschrieben, mit denen Sie den Zugriff Ihrer Arbeitslasten auf Google Cloud Ressourcen konfigurieren können.
Google Cloud bietet die folgenden Arten von Identitäten für Arbeitslasten:
Mit Workload Identity-Föderation und Workload Identity Federation for GKE können Ihre Arbeitslasten auf die meisten Google Cloud Dienste zugreifen. Dazu werden föderierte Identitäten verwendet, die über einen externen Identitätsanbieter (IdP) authentifiziert werden. Nachdem Google Cloud die Identität als Hauptkonto authentifiziert wurde, kann das Hauptkonto mit den von Ihnen gewährten IAM-Rollen auf Ressourcen zugreifen.
Google Cloud Dienstkonten können als Identitäten für Arbeitslasten in Produktionsumgebungen fungieren. Anstatt direkt auf eine Arbeitslast Zugriff zu erteilen, gewähren Sie einen Zugriff auf ein Dienstkonto und lassen die Arbeitslast dann das Dienstkonto als Identität verwenden.
Mit **verwalteten Arbeitslastidentitäten** können Sie stark attestierte Identitäten an Ihre Compute Engine- und GKE-Arbeitslasten binden.
**Agentenidentitäten** sind von Google verwaltete Identitäten für agentische Arbeitslasten. Agentenidentitäten werden attestiert und sind an den Lebenszyklus der Agenten gebunden. Dies bietet eine sicherere Möglichkeit, den Zugriff von Agenten auf Google Cloud Ressourcen zu verwalten, als die Verwendung von Dienstkonten.
Die Arten von Identitäten, die Sie für Arbeitslasten verwenden können, und die Art und Weise, wie Sie sie konfigurieren, hängen davon ab, wo Ihre Arbeitslasten ausgeführt werden.
Arbeitslasten auf konfigurieren Google Cloud
Wenn Sie Arbeitslasten auf Google Cloudausführen, können Sie mit den folgenden Methoden Identitäten für Ihre Arbeitslasten konfigurieren:
- Angehängte Dienstkonten
- Workload Identity Federation for GKE (nur für Arbeitslasten, die in Google Kubernetes Engine ausgeführt werden)
- Verwaltete Arbeitslastidentitäten (nur für Arbeitslasten, die in Compute Engine und GKE ausgeführt werden)
- Dienstkontoschlüssel
Angehängte Dienstkonten
Bei einigen Google Cloud Ressourcen können Sie ein nutzerverwaltetes Dienstkonto angeben, das von der Ressource als Standardidentität verwendet wird. Dieser Vorgang wird als Anhängen des Dienstkontos an die Ressource oder Verknüpfen des Dienstkontos mit der Ressource bezeichnet. Wenn Code, der auf der Ressource ausgeführt wird, auf Google Cloud Dienste und Ressourcen zugreift, verwendet er das Dienstkonto, das an die Ressource angehängt ist, als Identität. Beispiel: Sie hängen ein Dienstkonto an eine Compute Engine-Instanz an und die Anwendungen auf der Instanz verwenden eine Clientbibliothek, um Google Cloud APIs aufzurufen. Diese Anwendungen verwenden automatisch das angehängte Dienstkonto für die Authentifizierung und Autorisierung.
In den meisten Fällen müssen Sie beim Erstellen einer Ressource ein Dienstkonto an eine Ressource anhängen. Nachdem die Ressource erstellt wurde, können Sie nicht mehr ändern, welches Dienstkonto an der Ressource angehängt ist. Compute Engine-Instanzen sind eine Ausnahme von dieser Regel. Sie können je nach Bedarf ändern, welches Dienstkonto an eine Instanz angehängt ist.
Weitere Informationen zu Dienstkonto an eine Ressource anhängen.
Workload Identity Federation for GKE
Bei Arbeitslasten, die in GKE ausgeführt werden, können Sie mit Workload Identity Federation for GKE IAM-Rollen für separate, detaillierte Gruppen von Hauptkonten für jede Anwendung in Ihrem Cluster gewähren. Mit Workload Identity Federation for GKE können Kubernetes Dienstkonten in Ihrem GKE-Cluster direkt über Workload Identity Federation oder indirekt über die Identitätsübernahme von IAM-Dienstkonten auf Google Cloud Ressourcen zugreifen.
Durch den direkten Ressourcenzugriff können Sie dem Kubernetes-Dienstkonto direkt IAM-Rollen für die Google Cloud Ressourcen des Dienstes gewähren. Die meisten Google Cloud APIs unterstützen den direkten Ressourcenzugriff. Bei der Verwendung der Identitätsföderation können jedoch bestimmte API-Methoden Einschränkungen unterliegen. Eine Liste dieser Einschränkungen finden Sie unter Unterstützte Produkte und Einschränkungen.
Alternativ können Arbeitslasten auch die Identitätsübernahme von Dienstkonten verwenden. Dabei ist das konfigurierte Kubernetes-Dienstkonto an ein IAM Dienstkonto gebunden, das beim Zugriff auf Google Cloud APIs als Identität dient.
Weitere Informationen zu Workload Identity Federation for GKE finden Sie unter Workload Identity Federation for GKE.
Verwaltete Arbeitslastidentitäten
Mit verwalteten Arbeitslastidentitäten können Sie stark attestierte Identitäten an Ihre Compute Engine- und GKE-Arbeitslasten binden. Mit verwalteten Arbeitslastidentitäten können Sie Ihre Arbeitslasten über mTLSbei anderen Arbeitslasten authentifizieren.
Weitere Informationen zu verwalteten Arbeitslastidentitäten finden Sie in der Übersicht zu verwalteten Arbeitslastidentitäten.
Agentenidentitäten
Eine Agentenidentität ist eine von Google verwaltete Identität für agentische Arbeitslasten. Eine Agenten identität wird attestiert und ist an den Lebenszyklus des Agenten gebunden. Dies bietet eine sicherere Möglichkeit, den Zugriff von Agenten auf Google Cloud Ressourcen zu verwalten, als die Verwendung von Dienstkonten.
Vorhandene Zugriffssteuerungen über IAM unterstützen die Agentenidentität, um eine starke Governance zu ermöglichen.
Weitere Informationen zu Agentenidentitäten und ihrer Verwendung finden Sie unter Agentenidentität mit der Agent Runtime verwenden.
Externe Arbeitslasten konfigurieren
Wenn Sie Arbeitslasten außerhalb von Google Cloudausführen, können Sie mit den folgenden Methoden Identitäten für Ihre Arbeitslasten konfigurieren:
- Workload Identity-Föderation
- Dienstkontoschlüssel
Workload Identity-Föderation
Sie können Workload Identity-Föderation mit Arbeitslasten auf Google Cloud oder externen Arbeitslasten verwenden, die auf Plattformen wie AWS, Azure, GitHub und GitLab ausgeführt werden.
Mit der Identitätsföderation von Arbeitslasten können Sie Anmeldedaten von externen Identitäts anbietern wie AWS, Azure und Active Directory verwenden, um kurzlebige Anmeldedaten zu generieren, mit denen Arbeitslasten vorübergehend die Identität von Dienstkonten übernehmen können. Arbeitslasten können dann über das Dienstkonto als Identität auf Google Cloud Ressourcen zugreifen.
Die Identitätsföderation von Arbeitslasten ist die bevorzugte Methode zum Konfigurieren von Identitäten für externe Arbeitslasten.
Weitere Informationen zur Identitätsföderation von Arbeitslasten finden Sie unter Identitätsföderation von Arbeitslasten.
Dienstkontoschlüssel
Mit einem Dienstkontoschlüssel kann sich eine Arbeitslast als Dienstkonto authentifizieren und dann die Identität des Dienstkontos für die Autorisierung verwenden.
Lokale Entwicklung
Wenn Sie Entwicklungen in einer lokalen Umgebung durchführen, können Sie Arbeitslasten so konfigurieren, dass entweder Ihre Nutzeranmeldedaten oder ein Dienstkonto zur Authentifizierung und Autorisierung verwendet werden. Weitere Informationen finden Sie in der Authentifizierungsdokumentation im Artikel Lokale Entwicklungsumgebung.
Nächste Schritte
- Authentifizierung mithilfe von Dienstkonten einrichten
- Authentifizierung für eine lokale Entwicklungsumgebung einrichten
- Dienstkonten Zugriff auf Ressourcen erteilen