Per utilizzare Cloud de Confiance by S3NS, gli utenti e i carichi di lavoro devono avere un'identità cheCloud de Confiance possa riconoscere.
Questa pagina illustra i metodi che puoi utilizzare per configurare le identità per gli utenti e i carichi di lavoro.
Identità utente
Puoi configurare le identità utente per Cloud de Confiance tramite Workforce Identity Federation. Questo metodo ti consente di utilizzare il tuo provider di identità (IdP) esterno per far accedere gli utenti Cloud de Confiance e consentir loro di accedere Cloud de Confiance a risorse e prodotti. Con la federazione delle identità per la forza lavoro, gli utenti hanno bisogno di un solo account: il loro account esterno. Questo tipo di identità utente è a volte definito identità federata.
Identità di carico di lavoro
Cloud de Confiance fornisce i seguenti tipi di servizi di identità per i carichi di lavoro:
Workload Identity Federation consente ai tuoi carichi di lavoro di accedere alla maggior parte dei servizi Cloud de Confiance utilizzando un'identità fornita da un provider di identità. I workload che utilizzano la federazione Workload Identity possono essere eseguiti su Cloud de Confiance, Google Kubernetes Engine (GKE) o altre piattaforme, come AWS, Azure e GitHub.
I Cloud de Confiance account di servizio possono fungere da identità per i workload. Invece di concedere l'accesso direttamente a un carico di lavoro, concedi l'accesso a un account di servizio e poi lascia che il carico di lavoro utilizzi l'account di servizio come identità.
Le identità di carico di lavoro gestite (anteprima) ti consentono di associare identità fortemente attestate ai carichi di lavoro Compute Engine. Puoi utilizzare le identità di workload gestite per autenticare i tuoi workload con altri workload utilizzando TLS reciproco (mTLS), ma non puoi utilizzarle per l'autenticazione alle API. Cloud de Confiance
I metodi che puoi utilizzare dipendono da dove vengono eseguiti i carichi di lavoro.
Se esegui i workload su Cloud de Confiance, puoi utilizzare i seguenti metodi per configurare le identità di carico di lavoro:
Workload Identity Federation for GKE: concedi l'accesso IAM ai cluster GKE e agli account di servizio Kubernetes. In questo modo, i carichi di lavoro dei cluster possono accedere direttamente alla maggior parte dei servizi Cloud de Confiance , senza utilizzare la simulazione dell'identità dell'account di servizio IAM.
Account di servizio collegati: collega un account di servizio a una risorsa in modo che funga da identità predefinita della risorsa. Tutti i carichi di lavoro eseguiti sulla risorsa utilizzano l'identità dell'account di servizio quando accedono ai serviziCloud de Confiance .
Credenziali dell'account di servizio di breve durata: genera e utilizza le credenziali dell'account di servizio di breve durata ogni volta che le risorse devono accedere ai serviziCloud de Confiance . I tipi di credenziali più comuni sono i token di accesso OAuth 2.0 e i token ID OpenID Connect (OIDC).
Se esegui carichi di lavoro al di fuori di Cloud de Confiance, puoi utilizzare i seguenti metodi per configurare le identità di carico di lavoro:
- Federazione delle identità per i carichi di lavoro: utilizza le credenziali di fornitori di identità esterni per generare credenziali di breve durata, che i carichi di lavoro possono utilizzare per impersonare temporaneamente gli account di servizio. I carichi di lavoro possono quindi accedere alle risorseCloud de Confiance utilizzando l'account di servizio come identità.
Chiavi dell'account di servizio: utilizza la parte privata della coppia di chiave RSA pubblica/privata di un account di servizio per autenticarti come account di servizio.
Per scoprire di più su questi metodi per configurare le identità di carico di lavoro, consulta Panoramica delle identità di carico di lavoro.