Pour utiliser Trusted Cloud by S3NS, les utilisateurs et les charges de travail ont besoin d'une identité queTrusted Cloud peut reconnaître.
Cette page décrit les méthodes que vous pouvez utiliser pour configurer les identités des utilisateurs et des charges de travail.
Identités des utilisateurs
Vous pouvez configurer des identités utilisateur pour Trusted Cloud via la fédération des identités des employés. Cette méthode vous permet d'utiliser votre fournisseur d'identité (IdP) externe pour connecter vos utilisateurs à Trusted Cloud et leur permettre d'accéder aux ressources et produits Trusted Cloud . Avec la fédération des identités des employés, les utilisateurs n'ont besoin que d'un seul compte : leur compte externe. Ce type d'identité utilisateur est parfois appelé identité fédérée.
Identités des charges de travail
Trusted Cloud fournit les types de services d'identité suivants pour les charges de travail:
La fédération d'identité de charge de travail permet à vos charges de travail d'accéder à la plupart des Trusted Cloud services à l'aide d'une identité fournie par un IdP. Les charges de travail qui utilisent la fédération d'identité de charge de travail peuvent s'exécuter sur Trusted Cloud, Google Kubernetes Engine (GKE) ou d'autres plates-formes, telles qu'AWS, Azure et GitHub.
Les comptes de serviceTrusted Cloud peuvent servir d'identités pour les charges de travail. Au lieu d'accorder directement l'accès à une charge de travail, vous accordez l'accès à un compte de service, puis autorisez la charge de travail à utiliser le compte de service comme identité.
Les identités de charge de travail gérées (version preview) vous permettent d'associer des identités fortement certifiées à vos charges de travail Compute Engine. Vous pouvez utiliser des identités de charge de travail gérées pour authentifier vos charges de travail auprès d'autres charges de travail à l'aide du protocole d'authentification TLS mutuelle (mTLS), mais elles ne peuvent pas être utilisées pour s'authentifier auprès des API. Trusted Cloud
Les méthodes à utiliser dépendent de l'emplacement d'exécution de vos charges de travail.
Si vous exécutez des charges de travail sur Trusted Cloud, vous pouvez utiliser les méthodes suivantes pour configurer les identités de charge de travail:
Workload Identity Federation for GKE: accordez à IAM un accès aux clusters GKE et aux comptes de service Kubernetes. Les charges de travail des clusters peuvent ainsi accéder directement à la plupart des services Trusted Cloud , sans utiliser l'emprunt d'identité de compte de service IAM.
Comptes de service associés : associez un compte de service à une ressource afin que le compte de service agisse comme identité par défaut de la ressource. Toutes les charges de travail exécutées sur la ressource utilisent l'identité du compte de service pour accéder aux servicesTrusted Cloud .
Identifiants de compte de service éphémères: générez et utilisez des identifiants de compte de service éphémères à chaque fois que vos ressources doivent accéder aux servicesTrusted Cloud . Les types d'identifiants les plus courants sont les jetons d'accès OAuth 2.0 et les jetons d'identification OpenID Connect (OIDC).
Si vous exécutez des charges de travail en dehors de Trusted Cloud, vous pouvez utiliser les méthodes suivantes pour configurer les identités de charge de travail:
- Fédération d'identité de charge de travail : utilisez des identifiants de fournisseurs d'identité externes pour générer des identifiants éphémères, qui permettent aux charges de travail d'emprunter temporairement l'identité des comptes de service. Les charges de travail peuvent ensuite accéder aux ressourcesTrusted Cloud en utilisant le compte de service comme identité.
Clés de compte de service : utilisez la partie privée de la paire de clés RSA publique/privée d'un compte de service pour vous authentifier en tant que compte de service.
Pour en savoir plus sur ces méthodes de configuration des identités de charge de travail, consultez la Présentation des identités de charge de travail.