Questa pagina descrive i tipi di identità che puoi utilizzare per configurare l'accesso alle Google Cloud risorse dei tuoi workload.
Google Cloud fornisce i seguenti tipi di identità per i workload:
Workload Identity Federation e Workload Identity Federation for GKE consentono ai workload di accedere alla maggior parte dei Google Cloud servizi utilizzando identità federate autenticate tramite un provider di identità (IdP) esterno. Dopo che Google Cloud ha autenticato l'identità come entità, l'entità può accedere alle risorse utilizzando i ruoli IAM che concedi.
Google Cloud I **service account** possono fungere da identità per i workload negli ambienti di produzione. Anziché concedere l'accesso direttamente a un carico di lavoro, concedi l'accesso a un account di servizio e poi fai in modo che il carico di lavoro utilizzi l'account di servizio come identità.
Le identità dei workload gestite consentono di associare identità con attestazione forte ai workload di Compute Engine e GKE.
Le identità degli agenti sono identità gestite da Google per i workload agentici. Le identità degli agenti sono attestate e legate al ciclo di vita degli agenti. In questo modo, la gestione dell'accesso degli agenti alle Google Cloud risorse è più sicura rispetto all'utilizzo dei service account.
I tipi di identità che puoi utilizzare per i workload e il modo in cui li configuri dipendono da dove vengono eseguiti i workload.
Configurare i workload su Google Cloud
Se esegui i workload su Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità per i tuoi workload:
- Service account collegati
- Workload Identity Federation for GKE (solo per i workload in esecuzione su Google Kubernetes Engine)
- Identità dei workload gestite (solo per i workload in esecuzione su Compute Engine e GKE)
- Chiavi service account
Service account collegati
Per alcune Google Cloud risorse, puoi specificare un account di servizio gestito dall'utente che la risorsa utilizza come identità predefinita. Questo processo è noto come collegamento del service account alla risorsa o associazione del account di servizio alla risorsa. Quando il codice in esecuzione sulla risorsa accede a servizi e risorse, utilizza come identità il account di servizio collegato alla risorsa. Google Cloud Ad esempio, se colleghi un account di servizio a un'istanza di Compute Engine e le applicazioni sull'istanza utilizzano una libreria client per chiamare le Google Cloud API, queste applicazioni utilizzano automaticamente il account di servizio collegato per l'autenticazione e l' autorizzazione.
Nella maggior parte dei casi, devi collegare un account di servizio a una risorsa quando la crei. Dopo aver creato la risorsa, non puoi modificare il service account collegato alla risorsa. Le istanze di Compute Engine sono un'eccezione a questa regola: puoi modificare il account di servizio collegato a un'istanza in base alle esigenze.
Per saperne di più, consulta Collegare un account di servizio a una risorsa.
Workload Identity Federation for GKE
Per i workload in esecuzione su GKE, Workload Identity Federation for GKE consente di concedere ruoli IAM a insiemi di entità distinti e granulari per ogni applicazione nel cluster. Workload Identity Federation for GKE consente ai service account Kubernetes nel cluster GKE di accedere Google Cloud direttamente alle risorse utilizzando Workload Identity Federation o indirettamente, utilizzando la simulazione dell'identità dei account di servizio IAM.
Utilizzando l'accesso diretto alle risorse, puoi concedere i ruoli IAM all' identità del account di servizio Kubernetes direttamente sulle Google Cloud risorse del servizio. La maggior parte delle Google Cloud API supporta l'accesso diretto alle risorse. Tuttavia, quando utilizzi la federazione delle identità, alcuni metodi API potrebbero avere limitazioni. Per un elenco di queste limitazioni, consulta Prodotti supportati e limitazioni.
In alternativa, i workload possono anche utilizzare la simulazione dell'identità dei account di servizio, dove il ServiceAccount Kubernetes configurato è associato a un account di servizio IAM, che funge da identità quando si accede alle Google Cloud API.
Per saperne di più su Workload Identity Federation for GKE, consulta Workload Identity Federation for GKE.
Identità dei workload gestite
Le identità dei workload gestite consentono di associare identità con attestazione forte ai workload di Compute Engine e GKE. Puoi utilizzare le identità dei workload gestite per autenticare i workload con altri workload utilizzando mTLS.
Per saperne di più sulle identità dei workload gestite, consulta Panoramica delle identità dei workload gestite.
Identità dell'agente
Un'identità dell'agente è un'identità gestita da Google per i workload agentici. Un'identità dell'agente è attestata e legata al ciclo di vita dell'agente, il che fornisce un modo più sicuro per gestire l'accesso degli agenti alle risorse rispetto all'utilizzo dei service account. Google Cloud
I controlli di gestione degli accessi esistenti tramite IAM supportano l'identità dell'agente per consentire una governance efficace.
Per saperne di più sulle identità degli agenti e su come utilizzarle, consulta Utilizzare l'identità dell'agente con Agent Runtime.
Configurare i workload esterni
Se esegui i workload al di fuori di Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità per i tuoi workload:
- Workload Identity Federation
- Chiavi service account
Workload Identity Federation
Puoi utilizzare Workload Identity Federation con i workload su Google Cloud o con i workload esterni in esecuzione su piattaforme come AWS, Azure, GitHub e GitLab.
Workload Identity Federation consente di utilizzare le credenziali di provider di identità esterni come AWS, Azure e Active Directory per generare credenziali di breve durata, che i workload possono utilizzare per simulare temporaneamente l'identità dei service account. I workload possono quindi accedere Google Cloud alle risorse utilizzando il account di servizio come identità.
Workload Identity Federation è il modo preferito per configurare le identità per i workload esterni.
Per saperne di più su Workload Identity Federation, consulta Workload Identity Federation.
Chiavi service account
Una chiave del account di servizio consente a un workload di autenticarsi come account di servizio e quindi di utilizzare l'identità del account di servizio per l'autorizzazione.
Sviluppo locale
Se sviluppi in un ambiente locale, puoi configurare i workload in modo che utilizzino le tue credenziali utente o un account di servizio per l'autenticazione e l'autorizzazione. Per saperne di più, consulta Ambiente di sviluppo locale nella documentazione sull'autenticazione.
Passaggi successivi
- Scopri come configurare l'autenticazione utilizzando i service account.
- Scopri come configurare l'autenticazione per un ambiente di sviluppo locale.
- Scopri come concedere ai service account l'accesso alle risorse.