Para usar Cloud de Confiance by S3NS, los usuarios y las cargas de trabajo necesitan una identidad queCloud de Confiance pueda reconocer.
En esta página, se describen los métodos que puedes usar para configurar identidades de los usuarios y las cargas de trabajo.
Identidades de usuario
Puedes configurar identidades de usuario para Cloud de Confiance a través de la federación de identidades de personal. Este método te permite usar tu proveedor de identidad (IdP) externo para que tus usuarios accedan a Cloud de Confiance y puedan usar Cloud de Confiance recursos y productos. Con la federación de identidades de personal, los usuarios solo necesitan una cuenta: su cuenta externa. A veces, este tipo de identidad del usuario se denomina identidad federada.
Identidades de cargas de trabajo
Cloud de Confiance proporciona los siguientes tipos de servicios de identidad para cargas de trabajo:
La federación de identidades para cargas de trabajo permite que tus cargas de trabajo accedan a la mayoría de los servicios de Cloud de Confiance con una identidad proporcionada por un IdP. Las cargas de trabajo que usan la federación de Workload Identity pueden ejecutarse en Cloud de Confiance, Google Kubernetes Engine (GKE) o en otras plataformas, como AWS, Azure y GitHub.
Las Cloud de Confiance cuentas de servicio pueden actuar como identidades para las cargas de trabajo. En lugar de otorgar acceso a una carga de trabajo directamente, debes hacerlo a una cuenta de servicio y, luego, permitir que la carga de trabajo use la cuenta de servicio como su identidad.
Las identidades para cargas de trabajo administradas te permiten vincular identidades certificadas a tus cargas de trabajo de Compute Engine. Puedes usar identidades para cargas de trabajo administradas para autenticar tus cargas de trabajo en otras cargas de trabajo a través de TLS mutua (mTLS), pero no se pueden usar para autenticar en las Cloud de Confiance APIs.
Los métodos que puedes usar dependen de dónde se ejecutan tus cargas de trabajo.
Si ejecutas cargas de trabajo en Cloud de Confiance, puedes usar los siguientes métodos para configurar identidades de carga de trabajo:
Workload Identity Federation for GKE: Otorga acceso de IAM a los clústeres de GKE y a las cuentas de servicio de Kubernetes. De esta manera, las cargas de trabajo de los clústeres pueden acceder a la mayoría de los servicios de Cloud de Confiance directamente, sin usar la identidad temporal como cuenta de servicio de IAM.
Cuentas de servicio conectadas: Conecta una cuenta de servicio a un recurso para que la cuenta de servicio actúe como la identidad predeterminada del recurso. Cualquier carga de trabajo que se ejecute en el recurso usa la identidad de la cuenta de servicio cuando accede a los servicios deCloud de Confiance .
Credenciales de cuenta de servicio de corta duración: Genera y usa credenciales de cuenta de servicio de corta duración cada vez que tus recursos necesiten acceder a los servicios deCloud de Confiance . Los tipos de credenciales más comunes son los tokens de acceso de OAuth 2.0 y los tokens de ID de OpenID Connect (OIDC).
Si ejecutas cargas de trabajo fuera de Cloud de Confiance, puedes usar los siguientes métodos para configurar identidades de carga de trabajo:
- federación de identidades para cargas de trabajo: Usa credenciales de proveedores de identidad externos para generar credenciales de corta duración, que las cargas de trabajo pueden usar a fin de usar la identidad cuentas de servicio de forma temporal. Luego, las cargas de trabajo pueden acceder a los recursos deCloud de Confiance con la cuenta de servicio como su identidad.
Claves de cuentas de servicio: Usa la parte privada del par de clave RSA públicas/privadas de una cuenta de servicio para autenticarte como la cuenta de servicio.
Si deseas obtener más información sobre estos métodos para configurar identidades de cargas de trabajo, consulta Descripción general de las identidades de cargas de trabajo.