Para usar Cloud de Confiance by S3NS, los usuarios y las cargas de trabajo necesitan una identidad queCloud de Confiance pueda reconocer.
En esta página, se describen los métodos que puedes usar para configurar identidades de los usuarios y las cargas de trabajo.
Identidades de usuario
Puedes configurar las identidades de usuario de Cloud de Confiance a través de la federación de identidades de personal. Este método te permite usar tu proveedor de identidad externo (IdP) para que los usuarios accedan a Cloud de Confiance y les permitas acceder a los recursos y productos de Cloud de Confiance . Con la federación de identidades de personal, los usuarios solo necesitan una cuenta: su cuenta externa. A este tipo de identidad de usuario a veces se lo denomina identidad federada.
Identidades de cargas de trabajo
Cloud de Confiance proporciona los siguientes tipos de servicios de identidad para las cargas de trabajo:
La federación de identidades para cargas de trabajo permite que tus cargas de trabajo accedan a la mayoría de los servicios de Cloud de Confiance a través de una identidad que proporciona un IdP. Las cargas de trabajo que usan la federación de Workload Identity se pueden ejecutar en Cloud de Confiance, Google Kubernetes Engine (GKE) y otras plataformas, como AWS, Azure y GitHub.
Las cuentas de servicio deCloud de Confiance pueden actuar como identidades para las cargas de trabajo. En lugar de otorgar acceso a una carga de trabajo directamente, debes hacerlo a una cuenta de servicio y, luego, permitir que la carga de trabajo use la cuenta de servicio como su identidad.
Las identidades para cargas de trabajo administradas (versión preliminar) te permiten vincular identidades certificadas a tus cargas de trabajo de Compute Engine. Puedes usar identidades para cargas de trabajo administradas para autenticar tus cargas de trabajo en otras cargas de trabajo a través de TLS mutua (mTLS), pero no se pueden usar para autenticar en las APIs de Cloud de Confiance .
Los métodos que puedes usar dependen de dónde se ejecutan tus cargas de trabajo.
Si ejecutas cargas de trabajo en Cloud de Confiance, puedes usar los siguientes métodos para configurar identidades de carga de trabajo:
Workload Identity Federation for GKE: Otorga acceso de IAM a los clústeres de GKE y a las cuentas de servicio de Kubernetes. De esta manera, las cargas de trabajo de los clústeres pueden acceder a la mayoría de los Cloud de Confiance servicios directamente, sin usar la identidad temporal como cuenta de servicio de IAM.
Cuentas de servicio conectadas: Conecta una cuenta de servicio a un recurso para que la cuenta de servicio actúe como la identidad predeterminada del recurso. Cualquier carga de trabajo que se ejecute en el recurso usa la identidad de la cuenta de servicio cuando accede a los servicios deCloud de Confiance .
Credenciales de cuenta de servicio de corta duración: Genera y usa credenciales de cuenta de servicio de corta duración cada vez que tus recursos necesiten acceder a los servicios deCloud de Confiance . Los tipos de credenciales más comunes son los tokens de acceso de OAuth 2.0 y los tokens de ID de OpenID Connect (OIDC).
Si ejecutas cargas de trabajo fuera de Cloud de Confiance, puedes usar los siguientes métodos para configurar identidades de carga de trabajo:
- federación de identidades para cargas de trabajo: Usa credenciales de proveedores de identidad externos para generar credenciales de corta duración, que las cargas de trabajo pueden usar a fin de usar la identidad cuentas de servicio de forma temporal. Luego, las cargas de trabajo pueden acceder a los recursos deCloud de Confiance mediante la cuenta de servicio como su identidad.
Claves de la cuenta de servicio: Usa la parte privada del par de claves RSA público/privado de una cuenta de servicio para autenticarte como la cuenta de servicio.
Si deseas obtener más información sobre estos métodos para configurar identidades de cargas de trabajo, consulta Descripción general de las identidades de cargas de trabajo.