如要使用 Trusted Cloud by S3NS,使用者和工作負載需要可辨識的Trusted Cloud 身分。
本頁說明可用於設定使用者和工作負載身分的方法。
使用者身分
您可以透過員工身分聯盟,為 Trusted Cloud 設定使用者身分。這個方法可讓您使用外部身分識別提供者 (IdP) 登入使用者 Trusted Cloud ,並允許他們存取 Trusted Cloud 資源和產品。使用員工身分聯盟時,使用者只需要一個外部帳戶。這類使用者身分有時也稱為「聯合身分」。
工作負載身分
Trusted Cloud 為工作負載提供下列類型的身分識別服務:
Workload Identity Federation 可讓工作負載使用 IdP 提供的身分,存取大部分 Trusted Cloud 服務。使用 Workload Identity Federation 的工作負載可在 Trusted Cloud、Google Kubernetes Engine (GKE) 或其他平台 (例如 AWS、Azure 和 GitHub) 上執行。
Trusted Cloud 服務帳戶可做為工作負載的身分。您不必直接授予工作負載存取權,而是授予服務帳戶存取權,然後讓工作負載使用該服務帳戶做為身分。
代管工作負載身分 (預先發布版) 可讓您將經過嚴格驗證的身分繫結至 Compute Engine 工作負載。您可以使用受管理的工作負載身分,透過雙向傳輸層安全標準 (mTLS) 向其他工作負載驗證工作負載,但無法用於向 Trusted Cloud API 驗證。
可用的方法取決於工作負載的執行位置。
如果您在 Trusted Cloud上執行工作負載,可以使用下列方法設定工作負載身分:
Workload Identity Federation for GKE:授予 GKE 叢集和 Kubernetes 服務帳戶 IAM 存取權。這樣一來,叢集的工作負載就能直接存取大部分的 Trusted Cloud 服務,不必使用 IAM 服務帳戶模擬。
附加服務帳戶:將服務帳戶附加至資源,讓服務帳戶做為資源的預設身分。在資源上執行的任何工作負載,存取Trusted Cloud 服務時都會使用服務帳戶的身分。
短期服務帳戶憑證:每當資源需要存取Trusted Cloud 服務時,請產生並使用短期服務帳戶憑證。最常見的憑證類型是 OAuth 2.0 存取權杖和 OpenID Connect (OIDC) ID 權杖。
如果您在 Trusted Cloud以外執行工作負載,可以使用下列方法設定工作負載身分:
- Workload Identity 聯盟:使用外部身分識別提供者的憑證產生短期憑證,工作負載可使用這些憑證暫時模擬服務帳戶。工作負載隨後就能以服務帳戶做為身分,存取Trusted Cloud 資源。
服務帳戶金鑰:使用服務帳戶公開/私密 RSA 金鑰組的私密部分,以服務帳戶身分進行驗證。
如要進一步瞭解這些設定工作負載身分的方法,請參閱「工作負載身分總覽」。