Um Trusted Cloud by S3NSverwenden zu können, benötigen Nutzer und Arbeitslasten eine Identität, dieTrusted Cloud erkennen kann.
Auf dieser Seite werden die Methoden beschrieben, mit denen Sie Identitäten für Nutzer und Arbeitslasten konfigurieren können.
Nutzer-IDs
Sie können Nutzeridentitäten für Trusted Cloud über die Workforce Identity Federation konfigurieren. Mit dieser Methode können Sie Ihren externen Identitätsanbieter (IdP) verwenden, um Ihre Nutzer anzumelden und ihnen den Zugriff auf Trusted Cloud Ressourcen und Produkte Trusted Cloud zu ermöglichen. Bei der Workforce Identity-Föderation benötigen Nutzer nur ein Konto: ihr externes Konto. Diese Art von Nutzeridentität wird manchmal auch als föderierte Identität bezeichnet.
Workload Identitys
Trusted Cloud bietet die folgenden Identitätsdienste für Arbeitslasten:
Mit der Workload Identity-Föderation können Ihre Arbeitslasten über eine Identität, die von einem IdP bereitgestellt wird, auf die meisten Trusted Cloud Dienste zugreifen. Arbeitslasten, die die Workload Identity-Föderation verwenden, können auf Trusted Cloud, der Google Kubernetes Engine (GKE) oder anderen Plattformen wie AWS, Azure und GitHub ausgeführt werden.
Trusted Cloud Dienstkonten können als Identitäten für Arbeitslasten fungieren. Anstatt direkt auf eine Arbeitslast Zugriff zu erteilen, gewähren Sie einen Zugriff auf ein Dienstkonto und lassen die Arbeitslast dann das Dienstkonto als Identität verwenden.
Mit verwalteten Arbeitslastidentitäten (Vorabversion) können Sie stark attestierte Identitäten an Ihre Compute Engine-Arbeitslasten binden. Sie können verwaltete Arbeitslastidentitäten verwenden, um Ihre Arbeitslasten über gegenseitige TLS-Authentifizierung (mTLS) bei anderen Arbeitslasten zu authentifizieren. Sie können jedoch nicht für die Authentifizierung bei Trusted Cloud APIs verwendet werden.
Welche Methoden Sie verwenden können, hängt davon ab, wo Ihre Arbeitslasten ausgeführt werden.
Wenn Sie Arbeitslasten auf Trusted Cloudausführen, können Sie Workload Identitys mit den folgenden Methoden konfigurieren:
Workload Identity Federation for GKE: Gewähren Sie IAM-Zugriff auf GKE-Cluster und Kubernetes-Dienstkonten. So können die Arbeitslasten der Cluster direkt auf die meisten Trusted Cloud Dienste zugreifen, ohne die Identität eines IAM-Dienstkontos zu übernehmen.
Angehängte Dienstkonten: Hängen Sie ein Dienstkonto an eine Ressource an, damit das Dienstkonto als Standardidentität der Ressource fungiert. Alle auf der Ressource ausgeführten Arbeitslasten verwenden beim Zugriff aufTrusted Cloud -Dienste die Identität des Dienstkontos.
Kurzlebige Anmeldedaten für Dienstkonten: Generieren und verwenden Sie kurzlebige Anmeldedaten für Dienstkonten, wenn Ihre Ressourcen aufTrusted Cloud -Dienste zugreifen müssen. Die gängigsten Arten von Anmeldedaten sind OAuth 2.0-Zugriffstokens und OIDC-ID-Tokens (OpenID Connect).
Wenn Sie Arbeitslasten außerhalb von Trusted Cloudausführen, können Sie Workload Identitys mit den folgenden Methoden konfigurieren:
- Workload Identity-Föderation: Verwenden Sie Anmeldedaten von externen Identitätsanbietern, um kurzlebige Anmeldedaten zu generieren, mit denen Arbeitslasten vorübergehend die Identität von Dienstkonten übernehmen können. Arbeitslasten können dann über das Dienstkonto als Identität aufTrusted Cloud -Ressourcen zugreifen.
Dienstkontoschlüssel: Verwenden Sie den privaten Teil des öffentlichen/privaten RSA-Schlüsselpaars eines Dienstkontos, um sich als Dienstkonto zu authentifizieren.
Weitere Informationen zu diesen Methoden zum Einrichten von Workload Identitys finden Sie unter Workload Identity-Übersicht.