Um verwenden zu können Cloud de Confiance by S3NS, benötigen Nutzer, Arbeitslasten und Agenten eine Identität, die Cloud de Confiance erkennen kann.
Auf dieser Seite werden die Methoden beschrieben, mit denen Sie Identitäten für Nutzer, Arbeitslasten und Agenten konfigurieren können.
Nutzer-IDs
Sie können Nutzeridentitäten für Cloud de Confiance über die Workforce Identity-Föderation konfigurieren. Mit dieser Methode können Sie Ihren externen Identitätsanbieter (Identity Provider, IdP) verwenden, um Nutzer bei Cloud de Confiance anzumelden und ihnen Zugriff auf Cloud de Confiance Ressourcen und Produkte zu gewähren. Bei der Workforce Identity-Föderation benötigen Nutzer nur ein Konto: ihr externes Konto. Diese Art von Nutzeridentität wird manchmal als föderierte Identität bezeichnet.
Workload Identitys
Cloud de Confiance bietet die folgenden Arten von Identitätsdiensten für Arbeitslasten:
Mit der Workload Identity-Föderation können Ihre Arbeitslasten auf die meisten Cloud de Confiance Dienste zugreifen, indem sie eine Identität verwenden, die von einem IdP bereitgestellt wird. Arbeitslasten, die die Workload Identity-Föderation verwenden, können in Cloud de Confiance, Google Kubernetes Engine (GKE) oder auf anderen Plattformen wie AWS, Azure und GitHub ausgeführt werden.
Cloud de Confiance **Dienstkonten** können als Identitäten für Arbeitslasten fungieren. Anstatt direkt auf eine Arbeitslast Zugriff zu erteilen, gewähren Sie einen Zugriff auf ein Dienstkonto und lassen die Arbeitslast dann das Dienstkonto als Identität verwenden.
Mit verwalteten Arbeitslastidentitäten können Sie stark attestierte Identitäten an Ihre Compute Engine-Arbeitslasten binden. Sie können verwaltete Arbeitslastidentitäten verwenden, um Ihre Arbeitslasten über gegenseitiges TLS (mTLS)bei anderen Arbeitslasten zu authentifizieren. Sie können jedoch nicht für die Authentifizierung bei Cloud de Confiance APIs verwendet werden.
Welche Methoden Sie verwenden können, hängt davon ab, wo Ihre Arbeitslasten ausgeführt werden.
Wenn Sie Arbeitslasten in Cloud de Confianceausführen, können Sie Workload Identitys mit den folgenden Methoden konfigurieren:
Workload Identity-Föderation für GKE: Gewähren Sie Zugriff auf GKE-Cluster und Kubernetes-Dienstkonten über Identity and Access Management (IAM). Dadurch können die Arbeitslasten der Cluster direkt auf die meisten Cloud de Confiance Dienste zugreifen, ohne die Identitätsübernahme des IAM-Dienstkontos zu verwenden.
Angehängte Dienstkonten: Hängen Sie ein Dienstkonto an eine Ressource an, damit das Dienstkonto als Standardidentität der Ressource fungiert. Alle auf der Ressource ausgeführten Arbeitslasten verwenden beim Zugriff auf Dienste die Identität des Dienstkontos.Cloud de Confiance
Kurzlebige Anmeldedaten für Dienstkonten: Generieren und verwenden Sie kurzlebige Anmeldedaten für Dienstkonten, wenn Ihre Ressourcen auf Cloud de Confiance Dienste zugreifen müssen. Die gängigsten Arten von Anmeldedaten sind OAuth 2.0-Zugriffstokens und OIDC-ID-Tokens (OpenID Connect).
Wenn Sie Arbeitslasten außerhalb von Cloud de Confianceausführen, können Sie Workload Identitys mit den folgenden Methoden konfigurieren:
- Workload Identity-Föderation: Verwenden Sie Anmeldedaten von externen Identitäts anbietern, um kurzlebige Anmeldedaten zu generieren, mit denen Arbeitslasten vorübergehend die Identität von Dienstkonten übernehmen können. Arbeitslasten können dann über das Dienstkonto als Identität auf Cloud de Confiance Ressourcen zugreifen.
Dienstkontoschlüssel: Verwenden Sie den privaten Teil des öffentlichen/privaten RSA-Schlüsselpaars eines Dienstkontos, um sich als Dienstkonto zu authentifizieren.
Weitere Informationen zu diesen Methoden zum Einrichten von Workload Identitys finden Sie unter Workload Identity-Übersicht.
Agentenidentitäten
Cloud de Confiance bietet Agentenidentitäten für generative KI-Agenten. Eine Agentenidentität ist eine SPIFFE-basierte Identität, die an den Lebenszyklus eines Agenten gebunden und direkt dem Ressourcen-URI zugeordnet ist, auf dem der Agent gehostet wird. Der Agent verwendet diese Identität, um sich bei Cloud de Confiance Diensten zu authentifizieren oder externe Anmeldedaten vom Auth-Manager für Agentenidentitäten abzurufen.
Weitere Informationen zum Einrichten von Agentenidentitäten finden Sie unter Übersicht über Agentenidentitäten.