יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ניהול הזהויות ל-Google Cloud

כדי להשתמש ב- Cloud de Confiance by S3NS, משתמשים ועומסי עבודה צריכים זהות שמערכתCloud de Confiance יכולה לזהות.

בדף הזה מפורטות השיטות שבהן אפשר להגדיר זהויות למשתמשים ולעומסי עבודה.

זהויות משתמשים

אפשר להגדיר זהויות משתמשים עבור Cloud de Confiance באמצעות איחוד שירותי אימות הזהות של כוח העבודה. השיטה הזו מאפשרת לכם להשתמש בספק הזהויות החיצוני (IdP) כדי לאפשר למשתמשים שלכם להיכנס ל- Cloud de Confiance ולגשת למשאבים ולמוצרים של Cloud de Confiance . עם איחוד שירותי אימות הזהות של כוח העבודה, המשתמשים צריכים רק חשבון אחד: החשבון החיצוני שלהם. סוג הזהות של המשתמש נקרא לפעמים זהות מאוחדת.

זהויות של עומסי עבודה

‫Cloud de Confiance מספק את סוגי שירותי הזהויות הבאים לעומסי עבודה:

איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לעומסי העבודה שלכם לגשת לרוב שירותי Cloud de Confiance באמצעות זהות שמסופקת על ידי IdP. עומסי עבודה שמשתמשים ב-Workload Identity Federation יכולים לפעול ב- Cloud de Confiance, ב-Google Kubernetes Engine ‏ (GKE) או בפלטפורמות אחרות כמו AWS,‏ Azure ו-GitHub.
Cloud de Confiance חשבונות שירות יכולים לשמש כזהויות לעומסי עבודה. במקום לתת גישה ישירות לעומס עבודה, נותנים גישה לחשבון שירות, ואז מאפשרים לעומס העבודה להשתמש בחשבון השירות כזהות שלו.
זהויות מנוהלות של עומסי עבודה (תצוגה מקדימה) מאפשרות לכם לקשר זהויות עם אימות חזק לעומסי העבודה שלכם ב-Compute Engine. אתם יכולים להשתמש בזהויות מנוהלות של עומסי עבודה כדי לאמת את עומסי העבודה שלכם לעומסי עבודה אחרים באמצעות TLS בו-זמני (mTLS), אבל אי אפשר להשתמש בהן לאימות ל- Cloud de Confiance APIs.

השיטות שבהן אפשר להשתמש תלויות במקום שבו מריצים את עומסי העבודה.

אם אתם מריצים עומסי עבודה ב- Cloud de Confiance, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות של עומסי עבודה:

איחוד זהויות של עומסי עבודה ל-GKE: מתן גישת IAM לאשכולות GKE ולחשבונות שירות של Kubernetes. כך עומסי העבודה באשכולות יכולים לגשת ישירות לרוב השירותים של Cloud de Confiance , בלי להשתמש בהתחזות לחשבון שירות ב-IAM.
חשבונות שירות מצורפים: צירוף חשבון שירות למשאב כדי שחשבון השירות ישמש כזהות ברירת המחדל של המשאב. כל עומסי העבודה (workloads) שפועלים במשאב משתמשים בזהות של חשבון השירות כשהם ניגשים לשירותים שלCloud de Confiance .
פרטי כניסה לטווח קצר של חשבונות שירות: כדאי ליצור ולהשתמש בפרטי כניסה לטווח קצר של חשבונות שירות בכל פעם שהמשאבים שלכם צריכים לגשת לשירותיCloud de Confiance . הסוגים הנפוצים ביותר של פרטי כניסה הם אסימוני גישה מסוג OAuth 2.0 ואסימונים מזהים מסוג OpenID Connect ‏ (OIDC).

אם אתם מריצים עומסי עבודה מחוץ ל- Cloud de Confiance, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות של עומסי עבודה:

איחוד שירותי אימות הזהות של עומסי עבודה: שימוש בפרטי כניסה מספקי זהויות חיצוניים כדי ליצור פרטי כניסה לטווח קצר, שעומסי עבודה יכולים להשתמש בהם כדי להתחזות זמנית לחשבונות שירות. עומסי העבודה יכולים לגשת למשאביםCloud de Confiance באמצעות חשבון השירות בתור הזהות שלהם.
מפתחות של חשבונות שירות: משתמשים בחלק הפרטי של זוג מפתחות RSA ציבוריים או פרטיים של חשבון שירות כדי לבצע אימות כחשבון השירות.

חשוב: מפתחות של חשבונות שירות מהווים סיכון אבטחה אם לא מנהלים אותם בצורה נכונה. כשזה אפשרי, מומלץ לבחור שיטה מאובטחת יותר ממפתחות של חשבונות שירות. אם אתם מוכרחים לבצע אימות באמצעות מפתח של חשבון שירות, באחריותכם לאבטח את המפתח הפרטי ולבצע פעולות אחרות שמתוארות במאמר שיטות מומלצות לניהול מפתחות לחשבונות שירות. אם אתם לא יכולים ליצור מפתח לחשבון שירות, יכול להיות שהיצירה של מפתחות לחשבון שירות מושבתת בארגון שלכם. מידע נוסף מופיע במאמר בנושא ניהול משאבי ארגון שמוגדרים כמאובטחים כברירת מחדל.
אם קיבלתם את המפתח של חשבון השירות ממקור חיצוני, אתם צריכים לאמת אותו לפני השימוש. מידע נוסף זמין במאמר בנושא דרישות אבטחה לפרטי כניסה ממקור חיצוני.

מידע נוסף על השיטות האלה להגדרת זהויות של עומסי עבודה זמין במאמר סקירה כללית על זהויות של עומסי עבודה.