הגדרת אימות מנוהל של זהויות לעומסי עבודה ב-Compute Engine

במאמר הזה מוסבר איך להגדיר זהויות מנוהלות של עומסי עבודה ל-Compute Engine באמצעות ה-CLI של gcloud. בנוסף, מוסבר במאמר איך להגדיר הקצאת הרשאות אוטומטית וניהול מחזור חיים של זהויות מנוהלות של עומסי עבודה ב-Compute Engine באמצעות Certificate Authority Service, שמאפשר לכם ליצור חיבורי TLS הדדיים (mTLS) בין עומסי עבודה.

כדי לבקש גישה לזהויות מנוהלות של עומסי עבודה ב-Compute Engine, צריך למלא את טופס בקשת הגישה.

לפני שמתחילים

1. יוצרים או בוחרים Cloud de Confiance פרויקט.

   תפקידים שנדרשים כדי לבחור או ליצור פרויקט

   • Select a project: כדי לבחור פרויקט לא צריך תפקיד IAM ספציפי – אפשר לבחור כל פרויקט שקיבלתם בו תפקיד.
   • יצירת פרויקט: כדי ליצור פרויקט, צריך את התפקיד Project Creator (יצירת פרויקטים) (roles/resourcemanager.projectCreator), שכולל את ההרשאה resourcemanager.projects.create. איך מקצים תפקידים

   • יוצרים Cloud de Confiance פרויקט:

     gcloud projects create PROJECT_ID

     מחליפים את PROJECT_ID בשם של פרויקט Cloud de Confiance שיוצרים.

   • בוחרים את הפרויקט שיצרתם: Cloud de Confiance

     gcloud config set project PROJECT_ID

     מחליפים את PROJECT_ID בשם הפרויקט ב- Cloud de Confiance .

2. שליחת בקשה לגישה לגרסת Preview של זהויות מנוהלות של עומסי עבודה ב-Compute Engine

3. הסבר על זהויות מנוהלות של עומסי עבודה

4. מידע על הנפקת אישורים באמצעות Certificate Authority Service

5. איך מאמתים עומסי עבודה ב-Compute Engine באמצעות זהויות מנוהלות של עומסי עבודה

6. מפעילים את ממשקי ה-API של IAM ושל Certificate Authority Service:

   תפקידים שנדרשים להפעלת ממשקי API

   כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

   gcloud services enable iam.googleapis.com privateca.googleapis.com

7. מגדירים את Google Cloud CLI כך שישתמש בפרויקט שנוסף לרשימת ההיתרים לחיוב ולמכסות.

   gcloud config set billing/quota_project PROJECT_ID
   

   מחליפים את PROJECT_ID במזהה הפרויקט שנוסף לרשימת ההיתרים של התכונה 'תצוגה מקדימה של זהות מנוהלת של עומס עבודה'.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות ליצירה של זהויות מנוהלות של עומסי עבודה ולהקצאה של אישורים מנוהלים של זהויות של עומסי עבודה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

• כדי ליצור ולהגדיר זהויות מנוהלות של עומסי עבודה:
  • אדמין של מאגר זהויות של עומסי עבודה ב-IAM (roles/iam.workloadIdentityPoolAdmin)
  • אדמין בחשבון שירות (roles/iam.serviceAccountAdmin)
• כדי ליצור ולהגדיר מאגרי CA: אדמין של שירות CA (roles/privateca.admin)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

לחלופין, התפקיד הבסיסי 'בעלים' ב-IAM (roles/owner) כולל גם הרשאות להגדרה של זהויות מנוהלות של עומסי עבודה. בסביבת ייצור לא מומלץ להקצות תפקידים בסיסיים, אבל אפשר להעניק אותם בסביבת פיתוח או בסביבת בדיקה.

סקירה כללית

כדי להשתמש בזהויות מנוהלות של עומסי עבודה באפליקציות, צריך לבצע את המשימות הבאות:

1. אדמין לענייני אבטחה:

   • יוצרים מאגר זהויות של עומסי עבודה.
   • הגדרת CA (כדי לבחור אפשרות CA, להגדיר CAs ולעדכן את המאגר).
   • יוצרים זהויות מנוהלות של עומסי עבודה במאגר הזהויות של עומסי העבודה.
   • מגדירים מדיניות אימות של עומס עבודה ויוצרים חשבון שירות.

2. אדמין של Compute:

   מפעילים זהויות מנוהלות של עומסי עבודה לעומסי עבודה שפועלים ב-Compute Engine:

   • מכונות וירטואליות נפרדות.
   • קבוצות של מופעי מכונה מנוהלים (MIG).

יצירת מאגר זהויות של עומסי עבודה

1. כדי להגדיר זהויות מנוהלות של עומסי עבודה, צריך ליצור מאגר במצב TRUST_DOMAIN.

   gcloud iam workload-identity-pools create POOL_ID \
     --location="global" \
     --mode="TRUST_DOMAIN"
   

   מחליפים את POOL_ID במזהה הייחודי של המאגר. המזהה צריך להיות באורך של 4 עד 32 תווים, להכיל רק תווים אלפאנומריים באותיות קטנות ומקפים, ולהתחיל ולהסתיים בתו אלפאנומרי. אחרי שיוצרים מאגר זהויות של עומסי עבודה, אי אפשר לשנות את המזהה שלו.

2. כדי לוודא שמאגר זהויות של עומסי עבודה נוצר במצב TRUST_DOMAIN, מריצים את הפקודה workload-identity-pools describe.

   gcloud iam workload-identity-pools describe POOL_ID \
     --location="global"
   

   הפלט אמור להיראות כך:

   mode: TRUST_DOMAIN
   name: projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID
   state: ACTIVE
   

   אם mode: TRUST_DOMAIN לא מופיע בפלט פקודה, צריך לוודא שהפרויקט שלכם נוסף לרשימת ההיתרים של התכונה'תצוגה מקדימה של זהויות עומס עבודה מנוהלות' ושהגדרתם נכון את ה-CLI של gcloud כך שישתמש בפרויקט הנכון לחיוב ולמכסת השימוש. מוודאים שעדכנתם לגרסה העדכנית של ה-CLI של gcloud.

בחירת אפשרות של רשות אישורים

כדי לחתום על אישורי העומס, בוחרים את האפשרות של רשות האישורים (CA) שהכי מתאימה לתרחיש השימוש:

• CA שמוגדר כברירת מחדל ומנוהל על ידי Google: אפשרות זו מתאימה לפתרון מנוהל לחלוטין ללא עלות. רשות האישורים שמוגדרת כברירת מחדל מספקת שורש משותף של אמון לכל המשתמשים ב-Cloud de Confiance .

• CA בהתאמה אישית: משתמשים באפשרות הזו כדי להגדיר תשתית מפתח ציבורי (PKI) משלכם באמצעות Certificate Authority Service. האפשרות הזו מתאימה אם אתם צריכים שורש אמון מותאם אישית או אם אתם צריכים לאחסן מפתחות חתימה במודול אבטחה לחומרה (HSM) כדי לעמוד בדרישות התאימות. החיוב על Certificate Authority Service הוא נפרד מהחיוב על ניהול זהויות של עומסי עבודה. מידע נוסף מופיע במאמר בנושא תמחור של שירות CA.

הגדרת רשות אישורים

gcloud iam workload-identity-pools update TRUST_DOMAIN_NAME \
    --location="global" \
    --use-default-shared-ca \
    --project=PROJECT_ID

יצירת זהויות מנוהלות של עומסי עבודה

זהויות מנוהלות של עומסי עבודה מאפשרות Cloud de Confiance by S3NS להקצות באופן אוטומטי הרשאות לזהויות במאגר הזהויות של עומסי העבודה, לעומסי העבודה שלכם. זהויות של עומסי עבודה מוגדרות במאגר זהויות של עומסי עבודה, ומאורגנות בגבולות אדמיניסטרטיביים שנקראים מרחבי שמות.

יצירת מרחב שמות

הפקודה workload-identity-pools namespaces create מאפשרת ליצור מרחב שמות במאגר זהויות של עומסי עבודה.

gcloud iam workload-identity-pools namespaces create NAMESPACE_ID \
    --workload-identity-pool="POOL_ID" \
    --location="global"

מחליפים את מה שכתוב בשדות הבאים:

• ‫NAMESPACE_ID: המזהה הייחודי של מרחב השמות. המזהה צריך להיות באורך של 2 עד 63 תווים, להכיל רק תווים אלפאנומריים באותיות קטנות ומקפים, ולהתחיל ולהסתיים בתו אלפאנומרי. אחרי שיוצרים מרחב שמות, אי אפשר לשנות את המזהה שלו.
• ‫POOL_ID: מזהה מאגר הזהויות של עומסי העבודה שיצרתם קודם.

יצירת זהות מנוהלת של עומס עבודה

הפקודה workload-identity-pools managed-identities create מאפשרת ליצור זהות מנוהלת של עומס עבודה במרחב שמות של מאגר זהויות של עומס עבודה.

gcloud iam workload-identity-pools managed-identities create MANAGED_IDENTITY_ID \
    --namespace="NAMESPACE_ID" \
    --workload-identity-pool="POOL_ID" \
    --location="global"

מחליפים את מה שכתוב בשדות הבאים:

• ‫MANAGED_IDENTITY_ID: המזהה הייחודי של הזהות המנוהלת. המזהה צריך להיות באורך של 2 עד 63 תווים, להכיל רק תווים אלפאנומריים קטנים ומקפים, ולהתחיל ולהסתיים בתו אלפאנומרי. אחרי שיוצרים זהות מנוהלת של עומס עבודה, אי אפשר לשנות את המזהה שלה.
• ‫NAMESPACE_ID: מזהה מרחב השמות שיצרתם קודם.
• ‫POOL_ID: מזהה מאגר הזהויות של עומסי העבודה שיצרתם קודם.

המזהה של הזהות המנוהלת של עומס העבודה הוא מזהה SPIFFE, והפורמט שלו הוא:

spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID

הגדרת מדיניות אימות של עומס עבודה

בקטע הזה מוסבר איך מגדירים מדיניות אימות. המדיניות הזו קובעת באילו מאפיינים משתמש Cloud de Confiance IAM כדי לאמת את הזהות של עומס העבודה. אחרי האימות, עומס העבודה של השיחות יכול לקבל אישורים.

האימות מבוסס על אחד מהמאפיינים הבאים של עומס העבודה:

• מזהה מופע של מכונת VM
• כתובת האימייל בחשבון השירות המצורף
• מזהה UID של חשבון השירות המצורף

הגדרת מדיניות אימות של עומסי עבודה באמצעות כללי אימות

כדי ליצור מדיניות אימות שמאפשרת לעומס העבודה להשתמש בזהות המנוהלת, מבצעים את הפעולות הבאות:

1. מחליטים אם רוצים ליצור מדיניות אימות שתאפשר לעומס העבודה לאמת את הזהות המנוהלת באמצעות חשבון השירות המצורף או באמצעות מזהה המופע.

2. יוצרים קובץ מדיניות אימות בפורמט JSON.

   1. אופציונלי: כדי לקבל פרטי כניסה של X.509 במכונת Compute Engine, צריך להפעיל חשבון שירות מצורף. מומלץ לצרף חשבון שירות חדש לעומס העבודה. לשם כך, קודם יוצרים אותו באמצעות הפקודה הבאה:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
      

      מחליפים את SERVICE_ACCOUNT_NAME בשם של חשבון השירות.

   2. יוצרים קובץ מדיניות אימות בפורמט JSON שמאמת על סמך כתובת האימייל בחשבון השירות, מזהה המשתמש (UID) של חשבון השירות או מזהה המופע.

      כתובת אימייל של חשבון שירות

      כדי ליצור קובץ מדיניות אימות שמאמת על סמך כתובת האימייל בחשבון השירות, יוצרים קובץ עם התוכן הבא:

      {
         "attestationRules": [
            {
               "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.email/SERVICE_ACCOUNT_EMAIL"
            }
         ],
      }
      

      מחליפים את מה שכתוב בשדות הבאים:

      • ‫WORKLOAD_PROJECT_NUMBER: מספר הפרויקט שמכיל את המכונה הווירטואלית או את חשבון השירות

      כדי לקבל את מספר הפרויקט שמכיל את הזהות המנוהלת או את חשבון השירות שיצרתם, מריצים את הפקודה הבאה:

         gcloud projects describe $(gcloud config get-value project) \
            --format="value(projectNumber)"
      

      • SERVICE_ACCOUNT_EMAIL: כתובת האימייל של חשבון השירות שמצורף למכונה הווירטואלית

      מזהה חשבון השירות

      כדי ליצור קובץ מדיניות אימות שמאמת על סמך ה-UID של חשבון השירות, יוצרים קובץ עם התוכן הבא:

      {
         "attestationRules": [
            {
               "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID"
            }
         ],
      }
      

      מחליפים את מה שכתוב בשדות הבאים:

      • ‫WORKLOAD_PROJECT_NUMBER: מספר הפרויקט שמכיל את המכונה הווירטואלית או את חשבון השירות

      כדי לקבל את מספר הפרויקט שמכיל את הזהות המנוהלת או את חשבון השירות שיצרתם, מריצים את הפקודה הבאה:

         gcloud projects describe $(gcloud config get-value project) \
            --format="value(projectNumber)"
      

      • ‫SERVICE_ACCOUNT_UID: ה-UID של חשבון השירות שמצורף למכונה הווירטואלית

      כדי לקבל את המזהה הייחודי של חשבון השירות, מריצים את הפקודה הבאה:

         gcloud iam service-accounts describe SERVICE_ACCOUNT_EMAIL\
            --format="value(uniqueId)"
      

      מזהה מופע

      כדי ליצור קובץ מדיניות אימות שמאמת על סמך מזהה המופע, יוצרים קובץ עם התוכן הבא:

      {
         "attestationRules": [
            {
               "googleCloudResource": "//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/uid/zones/ZONE/instances/INSTANCE_ID"
            }
         ],
      }
      

      מחליפים את מה שכתוב בשדות הבאים:

      • ‫WORKLOAD_PROJECT_NUMBER: מספר הפרויקט שמכיל את המכונה הווירטואלית או את חשבון השירות

      כדי לקבל את מספר הפרויקט שמכיל את הזהות המנוהלת או את חשבון השירות שיצרתם, מריצים את הפקודה הבאה:

         gcloud projects describe $(gcloud config get-value project) \
            --format="value(projectNumber)"
      

      • ‫INSTANCE_ID: מזהה המכונה הווירטואלית של Compute Engine

      הערך של מזהה המכונה צריך להיות מזהה של מכונת Compute Engine קיימת. כדי לקבל את מזהה המכונה, מריצים את הפקודה הבאה:

      gcloud compute instances describe INSTANCE_NAME --zone=ZONE --format="get(id)"
      

      • ‫INSTANCE_NAME: השם של מכונת Compute Engine
      • ‫ZONE: האזור של מכונת Compute Engine

3. יוצרים את מדיניות האימות באמצעות קובץ ה-JSON של המדיניות שיצרתם קודם במסמך הזה:

   gcloud iam workload-identity-pools managed-identities set-attestation-rules MANAGED_IDENTITY_ID \
      --namespace=NAMESPACE_ID \
      --workload-identity-pool=POOL_ID \
      --policy-file=PATH_TO_POLICY_JSON_FILE \
      --location=global
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫MANAGED_IDENTITY_ID: המזהה הייחודי של הזהות המנוהלת. המזהה צריך להיות באורך של 2 עד 63 תווים, להכיל רק תווים אלפאנומריים קטנים ומקפים, ולהתחיל ולהסתיים בתו אלפאנומרי. אחרי שיוצרים זהות מנוהלת של עומס עבודה, אי אפשר לשנות את המזהה שלה.
   • ‫NAMESPACE_ID: מזהה מרחב השמות שיצרתם קודם.
   • ‫POOL_ID: מזהה מאגר הזהויות של עומסי העבודה שיצרתם קודם.
   • ‫PATH_TO_POLICY_JSON_FILE: הנתיב לקובץ ה-JSON שמייצג את מדיניות האימות שיצרתם קודם.

   אפשר גם לעדכן את המדיניות על ידי הוספה או הסרה של כללי אישור בנפרד. כדי להוסיף אישור למדיניות האישורים, מריצים את הפקודה הבאה:

   gcloud iam workload-identity-pools managed-identities add-attestation-rule MANAGED_IDENTITY_ID \
      --namespace=NAMESPACE_ID \
      --workload-identity-pool=POOL_ID \
      --google-cloud-resource='//compute.googleapis.com/projects/WORKLOAD_PROJECT_NUMBER/type/Instance/attached_service_account.uid/SERVICE_ACCOUNT_UID' \
      --location=global
   

4. כדי לראות את רשימת כללי האימות או להסיר אותם, מריצים את הפקודות הבאות:

   gcloud iam workload-identity-pools managed-identities list-attestation-rules --help
   gcloud iam workload-identity-pools managed-identities remove-attestation-rule --help
   

אופציונלי: הפעלת איחוד מהימן בין מאגרי זהויות של עומסי עבודה

כדי להפעיל אימות הדדי של עומסי עבודה בדומיינים שונים של אמון, אפשר להגדיר איחוד של אמון.

1. יוצרים קובץ trust-config.yaml עם התוכן הבא:

   inlineTrustConfig:
   additionalTrustBundles:
     POOL_ID.global.PROJECT_NUMBER.workload.id.goog:
        trustAnchors:
        - pemCertificate: "-----BEGIN CERTIFICATE-----\nPEM_ENCODED_CERTIFICATE\n-----END CERTIFICATE-----"

   מחליפים את מה שכתוב בשדות הבאים בקובץ:

   • ‫POOL_ID: המזהה של מאגר זהויות של עומסי עבודה שרוצים ליצור איתו פדרציה.
   • ‫PROJECT_NUMBER: מספר הפרויקט של מאגר זהויות של עומסי עבודה שאליו רוצים ליצור פדרציה.
   • ‫PEM_ENCODED_CERTIFICATE: אישור ה-CA הבסיסי בקידוד PEM של מאגר הזהויות של עומסי עבודה שרוצים ליצור איתו פדרציה.

2. כדי לעדכן את מאגר הזהויות של עומסי עבודה באמצעות הגדרת האמון, מריצים את הפקודה הבאה:

   gcloud iam workload-identity-pools update POOL_ID \
     --location="global" \
     --inline-trust-config-file=TRUST_CONFIG_FILE
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫POOL_ID: המזהה הייחודי של המאגר.
   • ‫TRUST_CONFIG_FILE: הנתיב לקובץ trust-config.yaml.

המאמרים הבאים

• פתרון בעיות באימות מנוהל של Workload Identity ב-Compute Engine
• הגדרת אימות מעומס עבודה לעומס עבודה באמצעות mTLS.
• הגדרה של איזון עומסים עם mTLS בעורף באמצעות זהות מנוהלת של עומס עבודה.
• מידע נוסף על יצירת מאגרי CA