Para usar Cloud de Confiance by S3NS, os usuários, as cargas de trabalho e os agentes precisam de uma identidade que Cloud de Confiance possa reconhecer.
Nesta página, descrevemos os métodos que podem ser usados para configurar identidades para usuários, cargas de trabalho e agentes.
Identidades de usuário
É possível configurar identidades de usuário para Cloud de Confiance por meio de federação de identidade de colaboradores. Esse método permite usar seu provedor de identidade externo (IdP) para fazer login dos usuários no Cloud de Confiance e permitir que eles acessem Cloud de Confiance recursos e produtos. Com a federação de identidade de colaboradores, os usuários precisam apenas de uma conta: a conta externa. Esse tipo de identidade de usuário às vezes é chamado de identidade federada.
Identidades de carga de trabalho
Cloud de Confiance oferece os seguintes tipos de serviços de identidade para cargas de trabalho:
A **federação de identidade da carga de trabalho** permite que as cargas de trabalho acessem a maioria dos Cloud de Confiance serviços usando uma identidade fornecida por um IdP. As cargas de trabalho que usam a federação de identidade da carga de trabalho podem ser executadas no Cloud de Confiance, no Google Kubernetes Engine (GKE) ou em outras plataformas, como AWS, Azure e GitHub.
Cloud de Confiance As contas de serviço podem atuar como identidades de cargas de trabalho. Em vez de conceder acesso a uma carga de trabalho diretamente, conceda acesso a uma conta de serviço e permita que ela utilize a conta de serviço como identidade.
As identidades de cargas de trabalho gerenciadas permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine. É possível usar identidades de carga de trabalho gerenciada para autenticar suas cargas de trabalho em outras cargas de trabalho usando mutual TLS (mTLS), mas elas não podem ser usadas para autenticação nas Cloud de Confiance APIs.
Os métodos que você pode usar dependem de onde suas cargas de trabalho estão em execução.
Se você estiver executando cargas de trabalho no Cloud de Confiance, poderá usar os seguintes métodos para configurar identidades de carga de trabalho:
Federação de identidade da carga de trabalho para GKE: conceda acesso do Identity and Access Management (IAM) a clusters do GKE e contas de serviço do Kubernetes. Isso permite que as cargas de trabalho dos clusters acessem a maioria dos Cloud de Confiance serviços diretamente, sem usar a identidade temporária de conta de serviço do IAM.
Contas de serviço anexadas: anexe uma conta de serviço a um recurso para que a conta de serviço atue como a identidade padrão do recurso. Todas as cargas de trabalho em execução no recurso usam a identidade da conta de serviço ao acessar Cloud de Confiance serviços.
Credenciais da conta de serviço de curta duração: gere e use credenciais de conta de serviço de curta duração sempre que seus recursos precisarem acessar serviços.Cloud de Confiance Os tipos de credenciais mais comuns são tokens de acesso do OAuth 2.0 e tokens de ID do OpenID Connect (OIDC).
Se você estiver executando cargas de trabalho fora do Cloud de Confiance, use os seguintes métodos para configurar identidades de carga de trabalho:
- Federação de identidade da carga de trabalho: use credenciais de provedores de identidade externos para gerar credenciais de curta duração, que as cargas de trabalho podem usar para representar temporariamente as contas de serviço. As cargas de trabalho podem acessar Cloud de Confiance recursos usando a conta de serviço como identidade.
Chaves de conta de serviço: use a parte particular do par de Chave RSA pública/privada de uma conta de serviço para autenticar como a conta de serviço.
Para saber mais sobre esses métodos de configuração de identidades de carga de trabalho, consulte Visão geral de identidades de carga de trabalho.
Identidades do agente
Cloud de Confiance fornece identidades de agente para agentes de IA generativa. Uma identidade de agente é uma identidade baseada em SPIFFE vinculada ao ciclo de vida de um agente e mapeada diretamente para o URI do recurso em que o agente está hospedado. O agente usa essa identidade para se autenticar em Cloud de Confiance serviços ou recuperar credenciais externas do gerenciador de autenticação de identidade do agente.
Para saber mais sobre como configurar identidades de agente, consulte Visão geral da identidade do agente.