如需使用 Trusted Cloud by S3NS,用户和工作负载需要一个Trusted Cloud 可以识别的身份。
本页概述了可用于配置用户身份和工作负载身份的方法。
用户身份
您可以通过员工身份联合为 Trusted Cloud 配置用户身份。通过这种方法,您可以使用外部身份提供方 (IdP) 让用户登录 Trusted Cloud 并访问 Trusted Cloud 资源和产品。使用员工身份联合时,用户只需要一个账号:其外部账号。此类用户身份有时也称为“联合身份”。
工作负载身份
Trusted Cloud 为工作负载提供以下类型的身份服务:
工作负载身份联合让您的工作负载可以使用 IdP 提供的身份访问大多数 Trusted Cloud 服务。使用工作负载身份联合的工作负载可以在 Trusted Cloud、Google Kubernetes Engine (GKE) 或其他平台(例如 AWS、Azure 和 GitHub)上运行。
Trusted Cloud 服务账号可充当工作负载的身份。您需要为服务账号授予访问权限,然后让工作负载使用该服务账号作为其身份,而不是直接授予对工作负载的访问权限。
通过托管式工作负载身份(预览版),您可以将经过严格证明的身份绑定到 Compute Engine 工作负载。您可以使用托管式工作负载身份通过双向 TLS (mTLS) 向其他工作负载验证您的工作负载身份,但不能用于向 Trusted Cloud API 进行身份验证。
您可以使用的方法取决于工作负载运行的位置。
如果您是在 Trusted Cloud上运行工作负载,则可以使用以下方法配置工作负载身份:
Workload Identity Federation for GKE:向 GKE 集群和 Kubernetes 服务账号授予 IAM 访问权限。这样一来,集群的工作负载便可直接访问大多数 Trusted Cloud 服务,而无需使用 IAM 服务账号模拟。
关联的服务账号:将服务账号关联到资源,使服务账号充当该资源的默认身份。资源上运行的任何工作负载在访问Trusted Cloud 服务时都会使用服务账号的身份。
短期有效的服务账号凭据:每当您的资源需要访问Trusted Cloud 服务时,都生成并使用短期有效的服务账号凭据。最常见的凭据类型是 OAuth 2.0 访问令牌和 OpenID Connect (OIDC) ID 令牌。
如果您是在 Trusted Cloud之外运行工作负载,则可以使用以下方法来配置工作负载身份:
- 工作负载身份联合:使用来自外部身份提供方的凭据生成短期有效的凭据,工作负载可以使用这些凭据来临时模拟服务账号。然后,工作负载可以使用相应的服务账号作为其身份来访问Trusted Cloud 资源。
服务账号密钥:使用服务账号公钥/私钥 RSA 密钥对的私钥部分,以服务账号身份进行身份验证。
如需详细了解用于设置工作负载身份的这些方法,请参阅工作负载身份概览。