Per utilizzare Cloud de Confiance by S3NS, utenti e workload hanno bisogno di un'identità cheCloud de Confiance possa riconoscere.
Questa pagina descrive i metodi che puoi utilizzare per configurare le identità per utenti e workload.
Identità utente
Puoi configurare le identità utente per Cloud de Confiance tramite la federazione delle identità per la forza lavoro. Questo metodo ti consente di utilizzare il tuo provider di identità (IdP) esterno per consentire agli utenti di accedere a Cloud de Confiance e di accedere a Cloud de Confiance risorse e prodotti. Con la federazione delle identità per la forza lavoro, gli utenti hanno bisogno di un solo account: quello esterno. Questo tipo di identità utente è talvolta definito identità federata.
Identità di workload
Cloud de Confiance fornisce i seguenti tipi di servizi di identità per i workload:
La federazione delle identità per i carichi di lavoro consente ai tuoi carichi di lavoro di accedere alla maggior parte dei servizi Cloud de Confiance utilizzando un'identità fornita da un IdP. I workload che utilizzano Workload Identity Federation possono essere eseguiti su Cloud de Confiance, Google Kubernetes Engine (GKE) o altre piattaforme, come AWS, Azure e GitHub.
Gli Cloud de Confiance service account possono fungere da identità per i workload. Anziché concedere l'accesso direttamente a un carico di lavoro, concedi l'accesso a un account di servizio, quindi consenti al carico di lavoro di utilizzare il service account come identità.
Le identità dei workload gestite consentono di associare identità con attestazione forte ai workload di Compute Engine. Puoi utilizzare le Workload Identity gestite per autenticare i tuoi workload con altri workload utilizzando mutual TLS (mTLS), ma non possono essere utilizzate per l'autenticazione alle API Cloud de Confiance .
I metodi che puoi utilizzare dipendono dalla posizione in cui vengono eseguiti i carichi di lavoro.
Se esegui workload su Cloud de Confiance, puoi utilizzare i seguenti metodi per configurare le identità del workload:
Workload Identity Federation for GKE: concedi l'accesso IAM a cluster GKE e service account Kubernetes. In questo modo, i carichi di lavoro dei cluster possono accedere direttamente alla maggior parte dei servizi, senza utilizzare la rappresentazione dell'identità del account di servizio IAM. Cloud de Confiance
Service account collegati: collega un account di servizio a una risorsa in modo che il account di servizio funga da identità predefinita della risorsa. Tutti i carichi di lavoro in esecuzione sulla risorsa utilizzano l'identità del account di servizio quando accedono ai serviziCloud de Confiance .
Credenziali dell'account di servizio di breve durata: genera e utilizza credenziali dell'account di servizio di breve durata ogni volta che le tue risorse devono accedere ai serviziCloud de Confiance . I tipi più comuni di credenziali sono token di accesso OAuth 2.0 e token ID OpenID Connect (OIDC).
Se esegui workload al di fuori di Cloud de Confiance, puoi utilizzare i seguenti metodi per configurare le identità del workload:
- Federazione delle identità per i workload: utilizza le credenziali di fornitori di identità esterni per generare credenziali di breve durata, che i workload possono utilizzare per impersonare temporaneamente i service account. I carichi di lavoro possono quindi accedere alle risorseCloud de Confiance utilizzando il account di servizio come identità.
Chiavi del service account: utilizza la parte privata di una coppia di chiave RSA pubblica/privata di un account di servizio account per autenticarti come account di servizio.
Per scoprire di più su questi metodi di configurazione delle identità dei workload, consulta Panoramica delle identità dei workload.