Para usar Trusted Cloud by S3NS, os utilizadores e as cargas de trabalho precisam de uma identidade que o Trusted Cloud possa reconhecer.
Esta página descreve os métodos que pode usar para configurar identidades para utilizadores e cargas de trabalho.
Identidades dos utilizadores
Pode configurar identidades de utilizadores para o Trusted Cloud através da federação de identidade da força de trabalho. Este método permite-lhe usar o seu fornecedor de identidade (IdP) externo para que os utilizadores iniciem sessão e acedam a recursos e produtos. Trusted Cloud Trusted Cloud Com a federação de identidades da força de trabalho, os utilizadores só precisam de uma conta: a respetiva conta externa. Por vezes, este tipo de identidade do utilizador é denominado identidade federada.
Identidades de cargas de trabalho
ATrusted Cloud oferece os seguintes tipos de serviços de identidade para cargas de trabalho:
A Workload Identity Federation permite que as suas cargas de trabalho acedam à maioria dos Trusted Cloud serviços através de uma identidade fornecida por um IdP. As cargas de trabalho que usam a Workload Identity Federation podem ser executadas no Trusted Cloud, no Google Kubernetes Engine (GKE) ou noutras plataformas, como a AWS, o Azure e o GitHub.
As Trusted Cloud contas de serviço podem atuar como identidades para cargas de trabalho. Em vez de conceder acesso diretamente a uma carga de trabalho, concede acesso a uma conta de serviço e, em seguida, permite que a carga de trabalho use a conta de serviço como a respetiva identidade.
Identidades de carga de trabalho geridas (pré-visualização) permitem associar identidades fortemente atestadas às suas cargas de trabalho do Compute Engine. Pode usar identidades de carga de trabalho geridas para autenticar as suas cargas de trabalho noutras cargas de trabalho através do TLS mútuo (mTLS), mas não podem ser usadas para autenticação em Trusted Cloud APIs.
Os métodos que pode usar dependem de onde as suas cargas de trabalho estão a ser executadas.
Se estiver a executar cargas de trabalho no Trusted Cloud, pode usar os seguintes métodos para configurar identidades de cargas de trabalho:
Federação de identidades da carga de trabalho para o GKE: conceda acesso ao IAM a clusters do GKE e contas de serviço do Kubernetes. Ao fazê-lo, as cargas de trabalho dos clusters podem aceder à maioria dos serviços diretamente, sem usar a representação da conta de serviço do IAM. Trusted Cloud
Contas de serviço anexadas: anexe uma conta de serviço a um recurso para que a conta de serviço funcione como a identidade predefinida do recurso. Todas as cargas de trabalho executadas no recurso usam a identidade da conta de serviço quando acedem aos Trusted Cloud serviços.
Credenciais da conta de serviço de curta duração: gere e use credenciais da conta de serviço de curta duração sempre que os seus recursos precisarem de aceder aosTrusted Cloud serviços. Os tipos de credenciais mais comuns são as chaves de acesso OAuth 2.0 e as chaves de ID OpenID Connect (OIDC).
Se estiver a executar cargas de trabalho fora do Trusted Cloud, pode usar os seguintes métodos para configurar identidades de cargas de trabalho:
- Federação de identidades da carga de trabalho: use credenciais de fornecedores de identidade externos para gerar credenciais de curta duração que as cargas de trabalho podem usar para se fazerem passar temporariamente por contas de serviço. Em seguida, as cargas de trabalho podem aceder aos recursosTrusted Cloud , usando a conta de serviço como identidade.
Chaves de contas de serviço: use a parte privada de um par de chaves RSA público/privado de uma conta de serviço para fazer a autenticação como a conta de serviço.
Para saber mais acerca destes métodos de configuração de identidades de cargas de trabalho, consulte o artigo Vista geral das identidades de cargas de trabalho.