זהויות לעומסי עבודה

בדף הזה מתוארים סוגי הזהויות שבהם אפשר להשתמש כדי להגדיר את הגישה של עומסי העבודה למשאבי Google Cloud .

‫Google Cloud מספקת את סוגי הזהויות הבאים לעומסי עבודה:

איחוד זהויות של עומסי עבודה ואיחוד זהויות של עומסי עבודה ל-GKE מאפשרים לעומסי העבודה שלכם לגשת לרוב Google Cloud השירותים באמצעות זהויות מאוחדות שעוברות אימות דרך ספק זהויות חיצוני (IdP). אחרי ש-Google Cloud מאמת את הזהות כחשבון משתמש, לחשבון המשתמש יש גישה למשאבים באמצעות תפקידי IAM שהקציתם לו.
Google Cloud חשבונות שירות יכולים לשמש כזהויות לעומסי עבודה בסביבות ייצור. במקום לתת גישה ישירות לעומס עבודה, נותנים גישה לחשבון שירות, ואז עומס העבודה משתמש בחשבון השירות בתור הזהות שלו.
זהויות מנוהלות של עומסי עבודה (תצוגה מקדימה) מאפשרות לכם לקשר זהויות מאומתות לעומסי העבודה שלכם ב-Compute Engine וב-GKE.
זהויות של סוכנים (תצוגה מקדימה) הן זהויות שמנוהלות על ידי Google עבור עומסי עבודה של סוכנים. הזהויות של הנציגים מאומתות וקשורות למחזור החיים של הנציגים. השיטה הזו מאפשרת לנהל את הגישה של הסוכן למשאבים בצורה מאובטחת יותר מאשר באמצעות חשבונות שירות. Google Cloud

סוגי הזהויות שבהם אפשר להשתמש לעומסי עבודה והאופן שבו מגדירים אותן תלויים במקום שבו עומסי העבודה פועלים.

הגדרת עומסי עבודה ב- Google Cloud

אם אתם מריצים עומסי עבודה ב- Google Cloud, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות לעומסי העבודה:

חשבונות שירות מצורפים
איחוד זהויות של עומסי עבודה ל-GKE (לעומסי עבודה שפועלים רק ב-Google Kubernetes Engine)
זהויות מנוהלות של עומסי עבודה (לעומסי עבודה שפועלים רק ב-Compute Engine וב-GKE)
מפתחות של חשבונות שירות

חשבונות שירות מצורפים

בחלק מהמשאבים של Google Cloud אפשר לציין חשבון שירות שמנוהל על ידי משתמש, שישמש את המשאב כזהות ברירת המחדל שלו. Google Cloud התהליך הזה נקרא צירוף חשבון השירות למשאב או שיוך חשבון השירות למשאב. כשקוד שרץ במשאב ניגש Google Cloud לשירותים ולמשאבים, הוא משתמש בחשבון השירות שמצורף למשאב בתור הזהות שלו. לדוגמה, אם מצרפים חשבון שירות למכונה של Compute Engine, והאפליקציות במכונה משתמשות בספריית לקוח כדי לקרוא ל-API של Google Cloud , האפליקציות האלו משתמשות אוטומטית בחשבון השירות המצורף לצורך אימות והרשאה.

ברוב המקרים, צריך לצרף חשבון שירות למשאב כשיוצרים את המשאב. אחרי שיוצרים את המשאב, אי אפשר להחליף את חשבון השירות שמצורף אליו. המכונות של Compute Engine הן החרגה לכלל הזה; אפשר להחליף את חשבון השירות שמקושר למכונה לפי הצורך.

מידע נוסף זמין במאמר צירוף חשבון שירות למשאב.

איחוד זהויות של עומסי עבודה ל-GKE

כשמריצים עומסי עבודה ב-GKE, איחוד זהויות של עומסי עבודה ל-GKE מאפשר להעניק תפקידי IAM לקבוצות נפרדות ומפורטות של גורמים, לכל אפליקציה באשכול. איחוד שירותי אימות הזהות של עומסי עבודה ב-GKE מאפשר לחשבונות שירות של Kubernetes באשכול GKE לגשת למשאבי Google Cloudישירות באמצעות איחוד שירותי אימות הזהות של עומסי עבודה, או בעקיפין באמצעות התחזות לחשבון שירות של IAM.

באמצעות גישה ישירה למשאבים, אתם יכולים להקצות תפקידי IAM לזהות של חשבון השירות של Kubernetes ישירות במשאבים של שירות Google Cloud . רוב ממשקי ה-API‏ Google Cloud תומכים בגישה ישירה למשאבים. עם זאת, כשמשתמשים באיחוד שירותי אימות הזהות, יכול להיות שיהיו מגבלות על שיטות מסוימות של API. רשימה של המגבלות האלה זמינה במאמר מוצרים נתמכים ומגבלות.

לחלופין, עומסי עבודה יכולים גם להשתמש בהתחזות לחשבון שירות, שבה חשבון השירות המוגדר ב-Kubernetes קשור לחשבון שירות ב-IAM, שמשמש כזהות כשניגשים לממשקי API של Google Cloud.

מידע נוסף על איחוד זהויות של עומסי עבודה ל-GKE זמין במאמר איחוד זהויות של עומסי עבודה ל-GKE.

זהויות מנוהלות של עומסי עבודה

זהויות מנוהלות של עומסי עבודה מאפשרות לכם לקשר זהויות עם אימות חזק לעומסי העבודה שלכם ב-Compute Engine וב-GKE. אתם יכולים להשתמש בזהויות מנוהלות של עומסי עבודה כדי לאמת את עומסי העבודה שלכם מול עומסי עבודה אחרים באמצעות mTLS.

מידע נוסף על זהויות מנוהלות של עומסי עבודה זמין במאמר סקירה כללית על זהויות מנוהלות של עומסי עבודה.

זהויות של נציגים

זהות של סוכן היא זהות שמנוהלת על ידי Google עבור עומסי עבודה של סוכנים. זהות הסוכן מאומתת ומקושרת למחזור החיים של הסוכן, וכך מתקבלת דרך מאובטחת יותר לניהול הגישה של הסוכן למשאבים של Google Cloud , בהשוואה לשימוש בחשבונות שירות.

אמצעי בקרה קיימים לניהול גישה באמצעות זהות של סוכן תמיכה ב-IAM מאפשרים ניהול חזק.

למידע נוסף על זהויות של סוכנים ואיך משתמשים בהן, אפשר לעיין במאמר שימוש בזהות של סוכן עם Vertex AI Agent Engine.

הגדרת עומסי עבודה חיצוניים

אם אתם מריצים עומסי עבודה מחוץ ל- Google Cloud, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות לעומסי העבודה:

איחוד שירותי אימות הזהות של עומסי עבודה
מפתחות של חשבונות שירות

איחוד שירותי אימות הזהות של עומסי עבודה

אתם יכולים להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה עם עומסי עבודה ב-Google Cloud או עם עומסי עבודה חיצוניים שפועלים בפלטפורמות כמו AWS,‏ Azure,‏ GitHub ו-GitLab.

איחוד שירותי אימות הזהות של עומסי עבודה מאפשר להשתמש בפרטי כניסה מספקי זהויות חיצוניים כמו AWS,‏ Azure ו-Active Directory כדי ליצור פרטי כניסה לטווח קצר, שעומסי עבודה יכולים להשתמש בהם כדי להתחזות זמנית לחשבונות שירות. עומסי עבודה יכולים לגשת למשאבים Google Cloudבאמצעות חשבון השירות בתור הזהות שלהם.

איחוד שירותי אימות הזהות של עומסי עבודה היא הדרך המועדפת להגדרת זהויות לעומסי עבודה חיצוניים.

מידע נוסף על איחוד שירותי אימות הזהויות של עומסי עבודה זמין במאמר איחוד שירותי אימות הזהויות של עומסי עבודה.

מפתחות של חשבונות שירות

מפתח של חשבון שירות מאפשר לעומס עבודה לבצע אימות כחשבון שירות, ואז להשתמש בזהות של חשבון השירות לצורך הרשאה.

הערה: אם לא מנהלים כראוי את המפתחות לחשבונות השירות הם עלולים לסכן את האבטחה. כשזה אפשרי, מומלץ לבחור שיטה מאובטחת יותר ממפתחות של חשבונות שירות. אם אתם מוכרחים לבצע אימות באמצעות מפתח של חשבון שירות, באחריותכם לאבטח את המפתח הפרטי ולבצע פעולות אחרות שמתוארות במאמר שיטות מומלצות לניהול מפתחות לחשבונות שירות. אם אתם לא יכולים ליצור מפתח לחשבון שירות, יכול להיות שהיצירה של מפתחות לחשבון שירות מושבתת בארגון שלכם. מידע נוסף מופיע במאמר בנושא ניהול משאבי ארגון שמוגדרים כמאובטחים כברירת מחדל.

אם קיבלתם את המפתח של חשבון השירות ממקור חיצוני, אתם צריכים לאמת אותו לפני השימוש. מידע נוסף זמין במאמר בנושא דרישות אבטחה לפרטי כניסה ממקור חיצוני.

פיתוח מקומי

אם אתם מפתחים בסביבה מקומית, אתם יכולים להגדיר את עומסי העבודה כך שישתמשו בפרטי הכניסה של המשתמש או בחשבון שירות לצורך אימות והרשאה. מידע נוסף זמין במאמר סביבת פיתוח מקומית במסמכי האימות.