Para usar o Trusted Cloud by S3NS, os usuários e as cargas de trabalho precisam de uma identidade que Trusted Cloud reconheça.
Nesta página, descrevemos os métodos que podem ser usados para configurar identidades para usuários e cargas de trabalho.
Identidades de usuário
É possível configurar identidades de usuários para Trusted Cloud usando a Federação de identidade de colaboradores. Esse método permite usar o provedor de identidade externo (IdP) para fazer login dos usuários no Trusted Cloud e permitir que eles acessem Trusted Cloud recursos e produtos. Com a federação de identidade de colaboradores, os usuários só precisam de uma conta: a conta externa. Esse tipo de identidade do usuário às vezes é chamado de identidade federada.
Identidades de carga de trabalho
OTrusted Cloud oferece os seguintes tipos de serviços de identidade para cargas de trabalho:
A federação de identidade da carga de trabalho permite que as cargas de trabalho acessem a maioria dos serviços Trusted Cloud usando uma identidade fornecida por um IdP. As cargas de trabalho que usam a federação de identidade da carga de trabalho podem ser executadas no Trusted Cloud, no Google Kubernetes Engine (GKE) ou em outras plataformas, como AWS, Azure e GitHub.
As contas de serviçoTrusted Cloud podem atuar como identidades de cargas de trabalho. Em vez de conceder acesso a uma carga de trabalho diretamente, conceda acesso a uma conta de serviço e permita que ela utilize a conta de serviço como identidade.
Identidades de cargas de trabalho gerenciadas (pré-visualização) permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine. É possível usar identidades de carga de trabalho gerenciada para autenticar suas cargas de trabalho em outras cargas de trabalho usando TLS mútuo (mTLS), mas elas não podem ser usadas para autenticação nas APIs do Trusted Cloud .
Os métodos que você pode usar dependem de onde suas cargas de trabalho estão em execução.
Se você estiver executando cargas de trabalho no Trusted Cloud, use os seguintes métodos para configurar identidades de carga de trabalho:
Federação de Identidade da Carga de Trabalho para GKE: conceda acesso ao IAM a clusters do GKE e contas de serviço do Kubernetes. Isso permite que as cargas de trabalho dos clusters acessem a maioria dos serviços Trusted Cloud diretamente, sem usar a representação da conta de serviço do IAM.
Contas de serviço anexadas: anexe uma conta de serviço a um recurso para que a conta de serviço atue como a identidade padrão do recurso. Todas as cargas de trabalho em execução no recurso usam a identidade da conta de serviço ao acessar os serviçosTrusted Cloud .
Credenciais de conta de serviço de curta duração: gere e use credenciais de conta de serviço de curta duração sempre que seus recursos precisarem acessar os serviços doTrusted Cloud . Os tipos de credenciais mais comuns são tokens de acesso do OAuth 2.0 e tokens de ID do OpenID Connect (OIDC).
Se você estiver executando cargas de trabalho fora de Trusted Cloud, use os seguintes métodos para configurar identidades de carga de trabalho:
- Federação de identidade da carga de trabalho: use credenciais de provedores de identidade externos para gerar credenciais de curta duração, que as cargas de trabalho podem usar para representar temporariamente as contas de serviço. As cargas de trabalho podem acessar recursos doTrusted Cloud usando a conta de serviço como identidade.
Chaves de conta de serviço: use a parte particular do par de chaves RSA pública/privada de uma conta de serviço para autenticar como a conta de serviço.
Para saber mais sobre esses métodos de configuração de identidades de carga de trabalho, consulte Visão geral de identidades de carga de trabalho.