Para usar Trusted Cloud by S3NS, los usuarios y las cargas de trabajo necesitan una identidad queTrusted Cloud pueda reconocer.
En esta página, se describen los métodos que puedes usar para configurar identidades de los usuarios y las cargas de trabajo.
Identidades de usuario
Puedes configurar las identidades de usuario de Trusted Cloud a través de la federación de identidades de personal. Este método te permite usar tu proveedor de identidad externo (IdP) para que los usuarios accedan a Trusted Cloud y les permitas acceder a los recursos y productos de Trusted Cloud . Con la federación de identidades de personal, los usuarios solo necesitan una cuenta: su cuenta externa. A este tipo de identidad de usuario a veces se lo denomina identidad federada.
Identidades de cargas de trabajo
Trusted Cloud proporciona los siguientes tipos de servicios de identidad para las cargas de trabajo:
La federación de identidades para cargas de trabajo permite que tus cargas de trabajo accedan a la mayoría de los servicios de Trusted Cloud a través de una identidad que proporciona un IdP. Las cargas de trabajo que usan la federación de Workload Identity se pueden ejecutar en Trusted Cloud, Google Kubernetes Engine (GKE) y otras plataformas, como AWS, Azure y GitHub.
Las cuentas de servicio deTrusted Cloud pueden actuar como identidades para las cargas de trabajo. En lugar de otorgar acceso a una carga de trabajo directamente, debes hacerlo a una cuenta de servicio y, luego, permitir que la carga de trabajo use la cuenta de servicio como su identidad.
Las identidades para cargas de trabajo administradas (versión preliminar) te permiten vincular identidades certificadas a tus cargas de trabajo de Compute Engine. Puedes usar identidades para cargas de trabajo administradas para autenticar tus cargas de trabajo en otras cargas de trabajo a través de TLS mutua (mTLS), pero no se pueden usar para autenticar en las APIs de Trusted Cloud .
Los métodos que puedes usar dependen de dónde se ejecutan tus cargas de trabajo.
Si ejecutas cargas de trabajo en Trusted Cloud, puedes usar los siguientes métodos para configurar identidades de carga de trabajo:
Workload Identity Federation for GKE: Otorga acceso de IAM a los clústeres de GKE y a las cuentas de servicio de Kubernetes. De esta manera, las cargas de trabajo de los clústeres pueden acceder a la mayoría de los Trusted Cloud servicios directamente, sin usar la identidad temporal como cuenta de servicio de IAM.
Cuentas de servicio conectadas: Conecta una cuenta de servicio a un recurso para que la cuenta de servicio actúe como la identidad predeterminada del recurso. Cualquier carga de trabajo que se ejecute en el recurso usa la identidad de la cuenta de servicio cuando accede a los servicios deTrusted Cloud .
Credenciales de cuenta de servicio de corta duración: Genera y usa credenciales de cuenta de servicio de corta duración cada vez que tus recursos necesiten acceder a los servicios deTrusted Cloud . Los tipos de credenciales más comunes son los tokens de acceso de OAuth 2.0 y los tokens de ID de OpenID Connect (OIDC).
Si ejecutas cargas de trabajo fuera de Trusted Cloud, puedes usar los siguientes métodos para configurar identidades de carga de trabajo:
- federación de identidades para cargas de trabajo: Usa credenciales de proveedores de identidad externos para generar credenciales de corta duración, que las cargas de trabajo pueden usar a fin de usar la identidad cuentas de servicio de forma temporal. Luego, las cargas de trabajo pueden acceder a los recursos deTrusted Cloud mediante la cuenta de servicio como su identidad.
Claves de la cuenta de servicio: Usa la parte privada del par de claves RSA público/privado de una cuenta de servicio para autenticarte como la cuenta de servicio.
Si deseas obtener más información sobre estos métodos para configurar identidades de cargas de trabajo, consulta Descripción general de las identidades de cargas de trabajo.