Per utilizzare Trusted Cloud by S3NS, gli utenti e i carichi di lavoro devono avere un'identità cheTrusted Cloud possa riconoscere.
Questa pagina illustra i metodi che puoi utilizzare per configurare le identità per gli utenti e i carichi di lavoro.
Identità utente
Puoi configurare le identità utente per Trusted Cloud tramite Workforce Identity Federation. Questo metodo ti consente di utilizzare il tuo provider di identità (IdP) esterno per far accedere gli utenti Trusted Cloud e consentir loro di accedere Trusted Cloud a risorse e prodotti. Con la federazione delle identità per la forza lavoro, gli utenti hanno bisogno di un solo account: il loro account esterno. Questo tipo di identità utente è a volte definito identità federata.
Identità di carico di lavoro
Trusted Cloud fornisce i seguenti tipi di servizi di identità per i carichi di lavoro:
Workload Identity Federation consente ai tuoi carichi di lavoro di accedere alla maggior parte dei servizi Trusted Cloud utilizzando un'identità fornita da un provider di identità. I workload che utilizzano la federazione Workload Identity possono essere eseguiti su Trusted Cloud, Google Kubernetes Engine (GKE) o altre piattaforme, come AWS, Azure e GitHub.
I Trusted Cloud account di servizio possono fungere da identità per i workload. Invece di concedere l'accesso direttamente a un carico di lavoro, concedi l'accesso a un account di servizio e poi lascia che il carico di lavoro utilizzi l'account di servizio come identità.
Le identità di carico di lavoro gestite (anteprima) ti consentono di associare identità fortemente attestate ai carichi di lavoro Compute Engine. Puoi utilizzare le identità di workload gestite per autenticare i tuoi workload con altri workload utilizzando TLS reciproco (mTLS), ma non puoi utilizzarle per l'autenticazione alle API. Trusted Cloud
I metodi che puoi utilizzare dipendono da dove vengono eseguiti i carichi di lavoro.
Se esegui i workload su Trusted Cloud, puoi utilizzare i seguenti metodi per configurare le identità di carico di lavoro:
Workload Identity Federation for GKE: concedi l'accesso IAM ai cluster GKE e agli account di servizio Kubernetes. In questo modo, i carichi di lavoro dei cluster possono accedere direttamente alla maggior parte dei servizi Trusted Cloud , senza utilizzare la simulazione dell'identità dell'account di servizio IAM.
Account di servizio collegati: collega un account di servizio a una risorsa in modo che funga da identità predefinita della risorsa. Tutti i carichi di lavoro eseguiti sulla risorsa utilizzano l'identità dell'account di servizio quando accedono ai serviziTrusted Cloud .
Credenziali dell'account di servizio di breve durata: genera e utilizza le credenziali dell'account di servizio di breve durata ogni volta che le risorse devono accedere ai serviziTrusted Cloud . I tipi di credenziali più comuni sono i token di accesso OAuth 2.0 e i token ID OpenID Connect (OIDC).
Se esegui carichi di lavoro al di fuori di Trusted Cloud, puoi utilizzare i seguenti metodi per configurare le identità di carico di lavoro:
- Federazione delle identità per i carichi di lavoro: utilizza le credenziali di fornitori di identità esterni per generare credenziali di breve durata, che i carichi di lavoro possono utilizzare per impersonare temporaneamente gli account di servizio. I carichi di lavoro possono quindi accedere alle risorseTrusted Cloud utilizzando l'account di servizio come identità.
Chiavi dell'account di servizio: utilizza la parte privata della coppia di chiave RSA pubblica/privata di un account di servizio per autenticarti come account di servizio.
Per scoprire di più su questi metodi per configurare le identità di carico di lavoro, consulta Panoramica delle identità di carico di lavoro.