כדי להשתמש ב- Cloud de Confiance by S3NS, משתמשים, עומסי עבודה וסוכנים צריכים זהות ש-Cloud de Confiance יכולה לזהות.
בדף הזה מפורטות השיטות שבהן אפשר להשתמש כדי להגדיר זהויות למשתמשים, לעומסי עבודה ולסוכנים.
זהויות משתמשים
אפשר להגדיר זהויות משתמשים עבור Cloud de Confiance באמצעות איחוד שירותי אימות הזהות של כוח העבודה. השיטה הזו מאפשרת לכם להשתמש בספק הזהויות החיצוני (IdP) כדי לאפשר למשתמשים להיכנס ל- Cloud de Confiance ולגשת למשאבים ולמוצרים של Cloud de Confiance . עם איחוד שירותי אימות הזהות של כוח העבודה, המשתמשים צריכים רק חשבון אחד: החשבון החיצוני שלהם. סוג הזהות של המשתמש נקרא לפעמים זהות מאוחדת.
זהויות של עומסי עבודה
Cloud de Confiance מספק את סוגי שירותי הזהויות הבאים לעומסי עבודה:
איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לעומסי העבודה שלכם לגשת לרוב השירותים של Cloud de Confiance באמצעות זהות שמסופקת על ידי ספק IdP. עומסי עבודה שמשתמשים ב-Workload Identity Federation יכולים לפעול ב- Cloud de Confiance, ב-Google Kubernetes Engine (GKE) או בפלטפורמות אחרות כמו AWS, Azure ו-GitHub.
Cloud de Confiance חשבונות שירות יכולים לשמש כזהויות לעומסי עבודה. במקום לתת גישה ישירות לעומס עבודה, נותנים גישה לחשבון שירות, ואז מאפשרים לעומס העבודה להשתמש בחשבון השירות כזהות שלו.
זהויות מנוהלות של עומסי עבודה מאפשרות לכם לקשר זהויות עם אימות חזק לעומסי העבודה שלכם ב-Compute Engine. אתם יכולים להשתמש בזהויות מנוהלות של עומסי עבודה כדי לאמת את עומסי העבודה שלכם לעומסי עבודה אחרים באמצעות TLS בו-זמני (mTLS), אבל אי אפשר להשתמש בהן לאימות ל- Cloud de Confiance APIs.
השיטות שבהן אפשר להשתמש תלויות במקום שבו מריצים את עומסי העבודה.
אם אתם מריצים עומסי עבודה ב- Cloud de Confiance, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות של עומסי עבודה:
איחוד זהויות של עומסי עבודה ל-GKE: מתן גישה לניהול זהויות והרשאות גישה (IAM) לאשכולות GKE ולחשבונות שירות של Kubernetes. כך עומסי העבודה באשכולות יכולים לגשת ישירות לרוב השירותים של Cloud de Confiance , בלי להשתמש בהתחזות לחשבון שירות ב-IAM.
חשבונות שירות מצורפים: צירוף חשבון שירות למשאב כדי שחשבון השירות ישמש כזהות ברירת המחדל של המשאב. כל עומסי העבודה (workloads) שפועלים במשאב משתמשים בזהות של חשבון השירות כשהם ניגשים לשירותים שלCloud de Confiance .
פרטי כניסה לטווח קצר של חשבונות שירות: כדאי ליצור ולהשתמש בפרטי כניסה לטווח קצר של חשבונות שירות בכל פעם שהמשאבים שלכם צריכים לגשת לשירותיCloud de Confiance . הסוגים הנפוצים ביותר של פרטי כניסה הם אסימוני גישה מסוג OAuth 2.0 ואסימונים מזהים מסוג OpenID Connect (OIDC).
אם אתם מריצים עומסי עבודה מחוץ ל- Cloud de Confiance, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות של עומסי עבודה:
- איחוד שירותי אימות הזהות של עומסי עבודה: שימוש בפרטי כניסה מספקי זהויות חיצוניים כדי ליצור פרטי כניסה לטווח קצר, שעומסי עבודה יכולים להשתמש בהם כדי להתחזות זמנית לחשבונות שירות. עומסי העבודה יכולים לגשת למשאביםCloud de Confiance באמצעות חשבון השירות בתור הזהות שלהם.
מפתחות של חשבונות שירות: משתמשים בחלק הפרטי של זוג מפתחות RSA ציבוריים או פרטיים של חשבון שירות כדי לבצע אימות כחשבון השירות.
מידע נוסף על השיטות האלה להגדרת זהויות של עומסי עבודה זמין במאמר סקירה כללית על זהויות של עומסי עבודה.
זהויות של נציגים
Cloud de Confiance מספק זהויות של סוכנים לסוכני AI גנרטיבי. זהות של סוכן היא זהות שמבוססת על SPIFFE וקשורה למחזור החיים של הסוכן, וממופה ישירות למזהה משאבים אחיד (URI) שבו הסוכן מתארח. הסוכן משתמש בזהות הזו כדי לבצע אימות בשירותים או כדי לאחזר פרטי כניסה חיצוניים ממנהל האימות של זהות הסוכן. Cloud de Confiance
מידע נוסף על הגדרת זהויות של סוכנים זמין במאמר סקירה כללית על זהות הסוכן.