Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Identitätsverwaltung für Google Cloud

Um Cloud de Confiance by S3NSzu verwenden, benötigen Nutzer und Arbeitslasten eine Identität, dieCloud de Confiance erkennen kann.

Auf dieser Seite werden die Methoden beschrieben, mit denen Sie Identitäten für Nutzer und Arbeitslasten konfigurieren können.

Nutzer-IDs

Sie können Nutzeridentitäten für Cloud de Confiance über die Mitarbeiteridentitätsföderation konfigurieren. Mit dieser Methode können Sie Ihren externen Identitätsanbieter (IdP) verwenden, um Ihre Nutzer bei Cloud de Confiance anzumelden und ihnen den Zugriff auf Cloud de Confiance Ressourcen und -Produkte zu ermöglichen. Bei der Workforce Identity-Föderation benötigen Nutzer nur ein Konto: ihr externes Konto. Diese Art von Nutzeridentität wird manchmal als föderierte Identität bezeichnet.

Workload Identitys

Cloud de Confiance bietet die folgenden Arten von Identitätsdiensten für Arbeitslasten:

Mit der Workload Identity-Föderation können Ihre Arbeitslasten über eine Identität, die von einem IdP bereitgestellt wird, auf die meisten Cloud de Confiance -Dienste zugreifen. Arbeitslasten, die die Identitätsföderation von Arbeitslasten verwenden, können auf Cloud de Confiance, Google Kubernetes Engine (GKE) oder anderen Plattformen wie AWS, Azure und GitHub ausgeführt werden.
Cloud de Confiance Dienstkonten können als Identitäten für Arbeitslasten fungieren. Anstatt direkt auf eine Arbeitslast Zugriff zu erteilen, gewähren Sie einen Zugriff auf ein Dienstkonto und lassen die Arbeitslast dann das Dienstkonto als Identität verwenden.
Mit verwalteten Arbeitslastidentitäten können Sie stark attestierte Identitäten an Ihre Compute Engine-Arbeitslasten binden. Sie können verwaltete Arbeitslastidentitäten verwenden, um Ihre Arbeitslasten bei anderen Arbeitslasten über gegenseitiges TLS (mTLS) zu authentifizieren. Sie können jedoch nicht für die Authentifizierung bei Cloud de Confiance APIs verwendet werden.

Welche Methoden Sie verwenden können, hängt davon ab, wo Ihre Arbeitslasten ausgeführt werden.

Wenn Sie Arbeitslasten auf Cloud de Confianceausführen, können Sie Workload Identitys mit den folgenden Methoden konfigurieren:

Workload Identity-Föderation für GKE: IAM-Zugriff auf GKE-Cluster und Kubernetes-Dienstkonten gewähren. Dadurch können die Arbeitslasten der Cluster direkt auf die meisten Cloud de Confiance -Dienste zugreifen, ohne die Identität eines IAM-Dienstkontos zu übernehmen.
Angehängte Dienstkonten: Hängen Sie ein Dienstkonto an eine Ressource an, damit das Dienstkonto als Standardidentität der Ressource fungiert. Alle auf der Ressource ausgeführten Arbeitslasten verwenden beim Zugriff aufCloud de Confiance -Dienste die Identität des Dienstkontos.
Kurzlebige Anmeldedaten für Dienstkonten: Generieren und verwenden Sie kurzlebige Anmeldedaten für Dienstkonten, wenn Ihre Ressourcen aufCloud de Confiance -Dienste zugreifen müssen. Die gängigsten Arten von Anmeldedaten sind OAuth 2.0-Zugriffstokens und OIDC-ID-Tokens (OpenID Connect).

Wenn Sie Arbeitslasten außerhalb von Cloud de Confianceausführen, können Sie Workload Identitys mit den folgenden Methoden konfigurieren:

Workload Identity-Föderation: Verwenden Sie Anmeldedaten von externen Identitätsanbietern, um kurzlebige Anmeldedaten zu generieren, mit denen Arbeitslasten vorübergehend die Identität von Dienstkonten übernehmen können. Arbeitslasten können dann über das Dienstkonto als Identität aufCloud de Confiance -Ressourcen zugreifen.
Dienstkontoschlüssel: Verwenden Sie den privaten Teil des öffentlichen/privaten RSA-Schlüsselpaars eines Dienstkontos, um sich als Dienstkonto zu authentifizieren.

Wichtig: Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Sie sollten nach Möglichkeit eine sicherere Alternative zu Dienstkontoschlüsseln auswählen. Wenn Sie sich mit einem Dienstkontoschlüssel authentifizieren müssen, sind Sie für die Sicherheit des privaten Schlüssels und für andere Vorgänge verantwortlich, die unter Best Practices für die Verwaltung von Dienstkontoschlüsseln beschrieben werden. Wenn Sie keinen Dienstkontoschlüssel erstellen können, ist das Erstellen von Dienstkontoschlüsseln für Ihre Organisation möglicherweise deaktiviert. Weitere Informationen finden Sie unter Standardmäßig sichere Organisationsressourcen verwalten.
Wenn Sie den Dienstkontoschlüssel von einer externen Quelle erhalten haben, müssen Sie ihn vor der Verwendung validieren. Weitere Informationen finden Sie unter Sicherheitsanforderungen für Anmeldedaten aus externen Quellen.

Weitere Informationen zu diesen Methoden zum Einrichten von Workload Identitys finden Sie unter Workload Identity-Übersicht.