Para usar o Cloud de Confiance by S3NS, os usuários e as cargas de trabalho precisam de uma identidade que Cloud de Confiance reconheça.
Nesta página, descrevemos os métodos que podem ser usados para configurar identidades para usuários e cargas de trabalho.
Identidades de usuário
É possível configurar identidades de usuários para Cloud de Confiance usando a Federação de identidade de colaboradores. Esse método permite usar o provedor de identidade externo (IdP) para fazer login dos usuários no Cloud de Confiance e permitir que eles acessem Cloud de Confiance recursos e produtos. Com a federação de identidade de colaboradores, os usuários só precisam de uma conta: a conta externa. Esse tipo de identidade do usuário às vezes é chamado de identidade federada.
Identidades de carga de trabalho
OCloud de Confiance oferece os seguintes tipos de serviços de identidade para cargas de trabalho:
A federação de identidade da carga de trabalho permite que as cargas de trabalho acessem a maioria dos serviços Cloud de Confiance usando uma identidade fornecida por um IdP. As cargas de trabalho que usam a federação de identidade da carga de trabalho podem ser executadas no Cloud de Confiance, no Google Kubernetes Engine (GKE) ou em outras plataformas, como AWS, Azure e GitHub.
As contas de serviçoCloud de Confiance podem atuar como identidades de cargas de trabalho. Em vez de conceder acesso a uma carga de trabalho diretamente, conceda acesso a uma conta de serviço e permita que ela utilize a conta de serviço como identidade.
Identidades de cargas de trabalho gerenciadas (pré-visualização) permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine. É possível usar identidades de carga de trabalho gerenciada para autenticar suas cargas de trabalho em outras cargas de trabalho usando TLS mútuo (mTLS), mas elas não podem ser usadas para autenticação nas APIs do Cloud de Confiance .
Os métodos que você pode usar dependem de onde suas cargas de trabalho estão em execução.
Se você estiver executando cargas de trabalho no Cloud de Confiance, use os seguintes métodos para configurar identidades de carga de trabalho:
Federação de Identidade da Carga de Trabalho para GKE: conceda acesso ao IAM a clusters do GKE e contas de serviço do Kubernetes. Isso permite que as cargas de trabalho dos clusters acessem a maioria dos serviços Cloud de Confiance diretamente, sem usar a representação da conta de serviço do IAM.
Contas de serviço anexadas: anexe uma conta de serviço a um recurso para que a conta de serviço atue como a identidade padrão do recurso. Todas as cargas de trabalho em execução no recurso usam a identidade da conta de serviço ao acessar os serviçosCloud de Confiance .
Credenciais de conta de serviço de curta duração: gere e use credenciais de conta de serviço de curta duração sempre que seus recursos precisarem acessar os serviços doCloud de Confiance . Os tipos de credenciais mais comuns são tokens de acesso do OAuth 2.0 e tokens de ID do OpenID Connect (OIDC).
Se você estiver executando cargas de trabalho fora de Cloud de Confiance, use os seguintes métodos para configurar identidades de carga de trabalho:
- Federação de identidade da carga de trabalho: use credenciais de provedores de identidade externos para gerar credenciais de curta duração, que as cargas de trabalho podem usar para representar temporariamente as contas de serviço. As cargas de trabalho podem acessar recursos doCloud de Confiance usando a conta de serviço como identidade.
Chaves de conta de serviço: use a parte particular do par de chaves RSA pública/privada de uma conta de serviço para autenticar como a conta de serviço.
Para saber mais sobre esses métodos de configuração de identidades de carga de trabalho, consulte Visão geral de identidades de carga de trabalho.