Untuk menggunakan Trusted Cloud by S3NS, pengguna dan beban kerja memerlukan identitas yang dapat dikenali oleh Trusted Cloud .
Halaman ini menguraikan metode yang dapat Anda gunakan untuk mengonfigurasi identitas bagi pengguna dan beban kerja.
Identitas Pengguna
Anda dapat mengonfigurasi identitas pengguna untuk Trusted Cloud melalui Workforce Identity Federation. Metode ini memungkinkan Anda menggunakan penyedia identitas (IdP) eksternal untuk memproses login pengguna ke Trusted Cloud dan mengizinkan mereka mengakses resource dan produk Trusted Cloud . Dengan Penggabungan Identitas Tenaga Kerja, pengguna hanya memerlukan satu akun: akun eksternal mereka. Jenis identitas pengguna ini terkadang disebut sebagai identitas gabungan.
Workload Identity
Trusted Cloud menyediakan jenis layanan identitas berikut untuk workload:
Workload Identity Federation memungkinkan beban kerja Anda mengakses sebagian besar Trusted Cloud layanan menggunakan identitas yang disediakan oleh IdP. Workload yang menggunakan Workload Identity Federation dapat berjalan di Trusted Cloud, Google Kubernetes Engine (GKE), atau platform lainnya, seperti AWS, Azure, dan GitHub.
Trusted Cloud Akun layanan dapat bertindak sebagai identitas untuk workload. Alih-alih memberikan akses ke beban kerja secara langsung, Anda memberikan akses ke akun layanan, lalu membiarkan beban kerja menggunakan akun layanan sebagai identitasnya.
Workload Identity terkelola (Pratinjau) memungkinkan Anda mengikat identitas yang diautentikasi dengan kuat ke beban kerja Compute Engine. Anda dapat menggunakan identitas beban kerja terkelola untuk mengautentikasi beban kerja ke beban kerja lain menggunakan mutual TLS (mTLS), tetapi tidak dapat digunakan untuk mengautentikasi ke API Trusted Cloud .
Metode yang dapat Anda gunakan bergantung pada lokasi workload Anda berjalan.
Jika menjalankan beban kerja di Trusted Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:
Workload Identity Federation for GKE: Memberikan akses IAM ke cluster GKE dan akun layanan Kubernetes. Tindakan ini memungkinkan beban kerja cluster mengakses sebagian besar layanan Trusted Cloud secara langsung, tanpa menggunakan peniruan identitas akun layanan IAM.
Akun layanan terpasang: Menambahkan akun layanan ke resource sehingga akun layanan bertindak sebagai identitas default resource. Setiap beban kerja yang dijalankan pada resource menggunakan identitas akun layanan saat mengakses layananTrusted Cloud .
Kredensial akun layanan berjangka pendek: Buat dan gunakan kredensial akun layanan berjangka pendek setiap kali resource Anda perlu mengakses layananTrusted Cloud . Jenis kredensial yang paling umum adalah token akses OAuth 2.0 dan token ID OpenID Connect (OIDC).
Jika menjalankan beban kerja di luar Trusted Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:
- Workload Identity Federation: Gunakan kredensial dari penyedia identitas eksternal untuk menghasilkan kredensial berumur pendek, yang dapat digunakan beban kerja untuk meniru akun layanan sementara. Selanjutnya, beban kerja dapat mengakses resourceTrusted Cloud , menggunakan akun layanan sebagai identitasnya.
Kunci akun layanan: Menggunakan bagian pribadi dari pasangan kunci RSA publik/pribadi akun layanan untuk mengautentikasi sebagai akun layanan.
Untuk mempelajari lebih lanjut metode penyiapan identitas beban kerja, lihat Ringkasan identitas beban kerja.