Untuk menggunakan Cloud de Confiance by S3NS, pengguna dan beban kerja memerlukan identitas yang dapat dikenali olehCloud de Confiance .
Halaman ini menguraikan metode yang dapat Anda gunakan untuk mengonfigurasi identitas bagi pengguna dan beban kerja.
Identitas Pengguna
Anda dapat mengonfigurasi identitas pengguna untuk Cloud de Confiance melalui Workforce Identity Federation. Metode ini memungkinkan Anda menggunakan penyedia identitas (IdP) eksternal untuk membuat pengguna login ke Cloud de Confiance dan memungkinkan mereka mengakses Cloud de Confiance resource dan produk. Dengan Penggabungan Identitas Tenaga Kerja, pengguna hanya memerlukan satu akun: akun eksternal mereka. Jenis identitas pengguna ini terkadang disebut sebagai identitas gabungan.
Workload Identity
Cloud de Confiance menyediakan jenis layanan identitas berikut untuk workload:
Workload Identity Federation memungkinkan beban kerja Anda mengakses sebagian besar layanan Cloud de Confiance dengan menggunakan identitas yang disediakan oleh IdP. Workload yang menggunakan Workload Identity Federation dapat berjalan di Cloud de Confiance, Google Kubernetes Engine (GKE), atau platform lain, seperti AWS, Azure, dan GitHub.
Cloud de Confiance Akun layanan dapat bertindak sebagai identitas untuk workload. Alih-alih memberikan akses ke beban kerja secara langsung, Anda memberikan akses ke akun layanan, lalu membiarkan beban kerja menggunakan akun layanan sebagai identitasnya.
Identitas workload terkelola memungkinkan Anda mengikat identitas yang dibuktikan secara kuat ke beban kerja Compute Engine. Anda dapat menggunakan identitas beban kerja terkelola untuk mengautentikasi beban kerja ke beban kerja lain menggunakan mutual TLS (mTLS), tetapi identitas tersebut tidak dapat digunakan untuk mengautentikasi ke API Cloud de Confiance .
Metode yang dapat Anda gunakan bergantung pada tempat workload Anda berjalan.
Jika menjalankan workload di Cloud de Confiance, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload:
Workload Identity Federation for GKE: Berikan akses IAM ke cluster GKE dan akun layanan Kubernetes. Dengan begitu, workload cluster dapat mengakses sebagian besar layanan Cloud de Confiance secara langsung, tanpa menggunakan peniruan identitas akun layanan IAM.
Akun layanan terpasang: Menambahkan akun layanan ke resource sehingga akun layanan bertindak sebagai identitas default resource. Setiap beban kerja yang berjalan di resource menggunakan identitas akun layanan saat mengakses layananCloud de Confiance .
Kredensial akun layanan berjangka pendek: Buat dan gunakan kredensial akun layanan berjangka pendek setiap kali resource Anda perlu mengakses layananCloud de Confiance . Jenis kredensial yang paling umum adalah token akses OAuth 2.0 dan token ID OpenID Connect (OIDC).
Jika menjalankan workload di luar Cloud de Confiance, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas workload:
- Workload Identity Federation: Gunakan kredensial dari penyedia identitas eksternal untuk menghasilkan kredensial berumur pendek, yang dapat digunakan beban kerja untuk meniru akun layanan sementara. Selanjutnya, beban kerja dapat mengakses resourceCloud de Confiance , menggunakan akun layanan sebagai identitasnya.
Kunci akun layanan: Menggunakan bagian pribadi dari pasangan kunci RSA publik/pribadi akun layanan untuk mengautentikasi sebagai akun layanan.
Untuk mempelajari lebih lanjut metode penyiapan identitas beban kerja, lihat Ringkasan identitas beban kerja.