Para usar Cloud de Confiance by S3NS, los usuarios y las cargas de trabajo necesitan una identidad que Cloud de Confiance puedan reconocer.
En esta página se describen los métodos que puede usar para configurar identidades de usuarios y cargas de trabajo.
Identidades de usuario
Puedes configurar identidades de usuario para Cloud de Confiance mediante Workforce Identity Federation. Este método te permite usar tu proveedor de identidades (IdP) externo para que tus usuarios inicien sesión en Cloud de Confiance y accedan Cloud de Confiance a recursos y productos. Con la federación de identidades de Workforce, los usuarios solo necesitan una cuenta: su cuenta externa. Este tipo de identidad de usuario se denomina a veces identidad federada.
Identidades de carga de trabajo
Cloud de Confiance proporciona los siguientes tipos de servicios de identidad para cargas de trabajo:
Federación de identidades de cargas de trabajo permite que tus cargas de trabajo accedan a la mayoría de los servicios de Cloud de Confiance mediante una identidad proporcionada por un proveedor de identidades. Las cargas de trabajo que usan la federación de identidades de carga de trabajo se pueden ejecutar en Cloud de Confiance, Google Kubernetes Engine (GKE) u otras plataformas, como AWS, Azure y GitHub.
Las Cloud de Confiance cuentas de servicio pueden actuar como identidades de cargas de trabajo. En lugar de conceder acceso directamente a una carga de trabajo, concede acceso a una cuenta de servicio y, a continuación, permite que la carga de trabajo use la cuenta de servicio como su identidad.
Las identidades de carga de trabajo gestionadas (vista previa) te permiten vincular identidades con certificación sólida a tus cargas de trabajo de Compute Engine. Puedes usar identidades de carga de trabajo gestionadas para autenticar tus cargas de trabajo en otras cargas de trabajo mediante TLS mutuo (mTLS), pero no se pueden usar para autenticarte en APIs de Cloud de Confiance .
Los métodos que puedes usar dependen de dónde se ejecuten tus cargas de trabajo.
Si ejecutas cargas de trabajo en Cloud de Confiance, puedes usar los siguientes métodos para configurar identidades de cargas de trabajo:
Workload Identity Federation for GKE: concede acceso de IAM a clústeres de GKE y cuentas de servicio de Kubernetes. De esta forma, las cargas de trabajo de los clústeres pueden acceder directamente a la mayoría de los servicios Cloud de Confiance sin usar la suplantación de identidad de la cuenta de servicio de IAM.
Cuentas de servicio asociadas: asocia una cuenta de servicio a un recurso para que actúe como identidad predeterminada del recurso. Las cargas de trabajo que se ejecuten en el recurso usarán la identidad de la cuenta de servicio al acceder a los servicios deCloud de Confiance .
Credenciales de cuenta de servicio de duración reducida: genera y usa credenciales de cuenta de servicio de duración reducida siempre que tus recursos necesiten acceder a servicios deCloud de Confiance . Los tipos de credenciales más habituales son los tokens de acceso de OAuth 2.0 y los tokens de ID de OpenID Connect (OIDC).
Si ejecutas cargas de trabajo fuera de Cloud de Confiance, puedes usar los siguientes métodos para configurar identidades de cargas de trabajo:
- Federación de identidades de cargas de trabajo: usa credenciales de proveedores de identidades externos para generar credenciales de duración reducida que las cargas de trabajo pueden usar para suplantar temporalmente cuentas de servicio. Las cargas de trabajo pueden acceder a los recursos deCloud de Confiance usando la cuenta de servicio como identidad.
Claves de cuenta de servicio: usa la parte privada de un par de claves RSA pública/privada de una cuenta de servicio para autenticarte como la cuenta de servicio.
Para obtener más información sobre estos métodos para configurar identidades de carga de trabajo, consulta el artículo Información general sobre las identidades de carga de trabajo.