Para usar Trusted Cloud by S3NS, los usuarios y las cargas de trabajo necesitan una identidad que Trusted Cloud puedan reconocer.
En esta página se describen los métodos que puede usar para configurar identidades de usuarios y cargas de trabajo.
Identidades de usuario
Puedes configurar identidades de usuario para Trusted Cloud mediante Workforce Identity Federation. Este método te permite usar tu proveedor de identidades (IdP) externo para que tus usuarios inicien sesión en Trusted Cloud y accedan Trusted Cloud a recursos y productos. Con la federación de identidades de Workforce, los usuarios solo necesitan una cuenta: su cuenta externa. Este tipo de identidad de usuario se denomina a veces identidad federada.
Identidades de carga de trabajo
Trusted Cloud proporciona los siguientes tipos de servicios de identidad para cargas de trabajo:
Federación de identidades de cargas de trabajo permite que tus cargas de trabajo accedan a la mayoría de los servicios de Trusted Cloud mediante una identidad proporcionada por un proveedor de identidades. Las cargas de trabajo que usan la federación de identidades de carga de trabajo se pueden ejecutar en Trusted Cloud, Google Kubernetes Engine (GKE) u otras plataformas, como AWS, Azure y GitHub.
Las Trusted Cloud cuentas de servicio pueden actuar como identidades de cargas de trabajo. En lugar de conceder acceso directamente a una carga de trabajo, concede acceso a una cuenta de servicio y, a continuación, permite que la carga de trabajo use la cuenta de servicio como su identidad.
Las identidades de carga de trabajo gestionadas (vista previa) te permiten vincular identidades con certificación sólida a tus cargas de trabajo de Compute Engine. Puedes usar identidades de carga de trabajo gestionadas para autenticar tus cargas de trabajo en otras cargas de trabajo mediante TLS mutuo (mTLS), pero no se pueden usar para autenticarte en APIs de Trusted Cloud .
Los métodos que puedes usar dependen de dónde se ejecuten tus cargas de trabajo.
Si ejecutas cargas de trabajo en Trusted Cloud, puedes usar los siguientes métodos para configurar identidades de cargas de trabajo:
Workload Identity Federation for GKE: concede acceso de IAM a clústeres de GKE y cuentas de servicio de Kubernetes. De esta forma, las cargas de trabajo de los clústeres pueden acceder directamente a la mayoría de los servicios Trusted Cloud sin usar la suplantación de identidad de la cuenta de servicio de IAM.
Cuentas de servicio asociadas: asocia una cuenta de servicio a un recurso para que actúe como identidad predeterminada del recurso. Las cargas de trabajo que se ejecuten en el recurso usarán la identidad de la cuenta de servicio al acceder a los servicios deTrusted Cloud .
Credenciales de cuenta de servicio de duración reducida: genera y usa credenciales de cuenta de servicio de duración reducida siempre que tus recursos necesiten acceder a servicios deTrusted Cloud . Los tipos de credenciales más habituales son los tokens de acceso de OAuth 2.0 y los tokens de ID de OpenID Connect (OIDC).
Si ejecutas cargas de trabajo fuera de Trusted Cloud, puedes usar los siguientes métodos para configurar identidades de cargas de trabajo:
- Federación de identidades de cargas de trabajo: usa credenciales de proveedores de identidades externos para generar credenciales de duración reducida que las cargas de trabajo pueden usar para suplantar temporalmente cuentas de servicio. Las cargas de trabajo pueden acceder a los recursos deTrusted Cloud usando la cuenta de servicio como identidad.
Claves de cuenta de servicio: usa la parte privada de un par de claves RSA pública/privada de una cuenta de servicio para autenticarte como la cuenta de servicio.
Para obtener más información sobre estos métodos para configurar identidades de carga de trabajo, consulta el artículo Información general sobre las identidades de carga de trabajo.