Fitur identitas beban kerja terkelola adalah bagian dari Identity and Access Management API. Workload identity terkelola menyederhanakan mTLS dengan otomatis menyediakan dan mengelola sertifikat X.509 dari Certificate Authority Service.
Managed workload identity didasarkan pada standar Secure Production Identity Framework For Everyone (SPIFFE), yang menyediakan framework untuk mengidentifikasi, mengautentikasi, dan mengamankan komunikasi antar-workload menggunakan ID SPIFFE yang unik.
Halaman ini membahas identitas workload terkelola dalam konteks menetapkan identitas terkelola ke load balancer untuk autentikasi mTLS. Untuk mempelajari lebih lanjut identitas workload terkelola untuk workload lainnya, lihat Ringkasan identitas workload terkelola.
ID SPIFFE
Identitas terkelola diwakili oleh ID SPIFFE. SPIFFE ID adalah URI yang secara unik mengidentifikasi beban kerja—dalam kasus mTLS backend, beban kerja adalah layanan backend load balancer. Formatnya seperti berikut:
spiffe://TRUST_DOMAIN_NAME/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
TRUST_DOMAIN_NAME diperluas lebih lanjut sebagai berikut:
WORKLOAD_IDENTITY_POOL_ID.global.PROJECT_NUMBER.workload.id.goog
Untuk menggabungkan semuanya, workload Compute Engine, seperti resource layanan backend load balancer, dapat memiliki identitas terkelola sebagai berikut:
spiffe://WORKLOAD_IDENTITY_POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
Bagian berikut menjelaskan berbagai resource identitas beban kerja terkelola.
Hierarki resource identitas workload terkelola
Untuk menyiapkan identitas workload terkelola bagi load balancer, Anda perlu membuat resource berikut. Resource ini dijelaskan di bagian berikut dalam dokumen ini.
- Workload identity pool
- Namespace
- Workload identity terkelola
- Kebijakan pengesahan
Workload identity pool
Identitas workload terkelola ditentukan dalam workload identity pool, yang berfungsi sebagai domain tepercaya.
Domain tepercaya merepresentasikan batas keamanan logis yang di dalamnya beban kerja dapat mengautentikasi dan mengotorisasi satu sama lain menggunakan ID SPIFFE-nya. Semua workload dalam domain tepercaya yang sama berbagi root tepercaya yang sama, yang memungkinkan workload memverifikasi identitas satu sama lain.
Untuk menggunakan identitas terkelola, Anda harus mengonfigurasi workload identity pool dalam mode TRUST_DOMAIN. Semua identitas dalam pool terdiri dari
satu namespace dan ID workload individual.
Dalam diagram berikut, load balancer dan backend adalah bagian dari domain tepercaya yang sama, yang berbagi sertifikat root yang sama. Sertifikat root digunakan untuk membangun rantai kepercayaan dan memverifikasi identitas beban kerja dalam domain tepercaya.
Secara default, workload Anda dalam domain tepercaya yang sama dapat saling melakukan autentikasi menggunakan identitas workload terkelola. Jika Anda ingin beban kerja yang berada di domain tepercaya berbeda untuk saling mengautentikasi, Anda harus menyatakan hubungan tepercaya secara eksplisit di kumpulan identitas beban kerja. Anda dapat melakukannya dengan membuat konfigurasi kepercayaan inline yang mengenali dan menerima sertifikat dari domain kepercayaan lain.
Namespace
Dalam workload identity pool, identitas workload terkelola diatur ke dalam batas administratif yang disebut namespace. Namespace membantu Anda mengatur dan memberikan akses ke identitas workload terkait.
Workload identity terkelola
Managed workload identity atau managed identity adalah ID workload yang dikonfigurasi dalam workload identity pool. Objek ini dilampirkan ke resource Google Cloud Setiap identitas terkelola diidentifikasi secara unik oleh namespace dan ID workload individual.
Dalam konteks pencapaian mTLS backend, identitas terkelola dilampirkan ke resource layanan backend load balancer.
Nilai identitas terkelola adalah SPIFFE ID yang ditentukan sepenuhnya yang harus sesuai dengan format berikut:
spiffe://WORKLOAD_IDENTITY_POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
Kebijakan pengesahan
Identitas workload terkelola untuk resource Compute Engine mengharuskan Anda mengonfigurasi kebijakan pengesahan.
Kebijakan pengesahan workload berisi aturan yang menentukan workload mana yang dapat dikeluarkan sertifikat X.509 untuk identitas workload terkelola. Kebijakan pengesahan menggunakan atribut workload yang dapat diverifikasi—seperti ID project atau nama resource—untuk memastikan bahwa hanya workload tepercaya yang dapat menggunakan identitas terkelola tertentu.