Untuk menggunakan Cloud de Confiance by S3NS, pengguna dan beban kerja memerlukan identitas yang dapat dikenali oleh Cloud de Confiance .
Halaman ini menguraikan metode yang dapat Anda gunakan untuk mengonfigurasi identitas bagi pengguna dan beban kerja.
Identitas Pengguna
Anda dapat mengonfigurasi identitas pengguna untuk Cloud de Confiance melalui Workforce Identity Federation. Metode ini memungkinkan Anda menggunakan penyedia identitas (IdP) eksternal untuk memproses login pengguna ke Cloud de Confiance dan mengizinkan mereka mengakses resource dan produk Cloud de Confiance . Dengan Penggabungan Identitas Tenaga Kerja, pengguna hanya memerlukan satu akun: akun eksternal mereka. Jenis identitas pengguna ini terkadang disebut sebagai identitas gabungan.
Workload Identity
Cloud de Confiance menyediakan jenis layanan identitas berikut untuk workload:
Workload Identity Federation memungkinkan beban kerja Anda mengakses sebagian besar Cloud de Confiance layanan menggunakan identitas yang disediakan oleh IdP. Workload yang menggunakan Workload Identity Federation dapat berjalan di Cloud de Confiance, Google Kubernetes Engine (GKE), atau platform lainnya, seperti AWS, Azure, dan GitHub.
Cloud de Confiance Akun layanan dapat bertindak sebagai identitas untuk workload. Alih-alih memberikan akses ke beban kerja secara langsung, Anda memberikan akses ke akun layanan, lalu membiarkan beban kerja menggunakan akun layanan sebagai identitasnya.
Workload Identity terkelola (Pratinjau) memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke beban kerja Compute Engine. Anda dapat menggunakan identitas beban kerja terkelola untuk mengautentikasi beban kerja ke beban kerja lain menggunakan mutual TLS (mTLS), tetapi tidak dapat digunakan untuk mengautentikasi ke API Cloud de Confiance .
Metode yang dapat Anda gunakan bergantung pada lokasi workload Anda berjalan.
Jika menjalankan beban kerja di Cloud de Confiance, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:
Workload Identity Federation for GKE: Memberikan akses IAM ke cluster GKE dan akun layanan Kubernetes. Tindakan ini memungkinkan beban kerja cluster mengakses sebagian besar layanan Cloud de Confiance secara langsung, tanpa menggunakan peniruan identitas akun layanan IAM.
Akun layanan terpasang: Menambahkan akun layanan ke resource sehingga akun layanan bertindak sebagai identitas default resource. Setiap beban kerja yang dijalankan pada resource menggunakan identitas akun layanan saat mengakses layananCloud de Confiance .
Kredensial akun layanan berjangka pendek: Buat dan gunakan kredensial akun layanan berjangka pendek setiap kali resource Anda perlu mengakses layananCloud de Confiance . Jenis kredensial yang paling umum adalah token akses OAuth 2.0 dan token ID OpenID Connect (OIDC).
Jika menjalankan beban kerja di luar Cloud de Confiance, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:
- Workload Identity Federation: Gunakan kredensial dari penyedia identitas eksternal untuk menghasilkan kredensial berumur pendek, yang dapat digunakan beban kerja untuk meniru akun layanan sementara. Selanjutnya, beban kerja dapat mengakses resourceCloud de Confiance , menggunakan akun layanan sebagai identitasnya.
Kunci akun layanan: Menggunakan bagian pribadi dari pasangan kunci RSA publik/pribadi akun layanan untuk mengautentikasi sebagai akun layanan.
Untuk mempelajari lebih lanjut metode penyiapan identitas beban kerja, lihat Ringkasan identitas beban kerja.