如要使用 Cloud de Confiance by S3NS,使用者和工作負載需要可辨識的Cloud de Confiance 身分。
本頁說明可用於設定使用者和工作負載身分的方法。
使用者身分
您可以透過員工身分聯盟,為 Cloud de Confiance 設定使用者身分。這個方法可讓您使用外部身分識別提供者 (IdP) 登入使用者 Cloud de Confiance ,並允許他們存取 Cloud de Confiance 資源和產品。使用員工身分聯盟時,使用者只需要一個外部帳戶。這類使用者身分有時也稱為「聯合身分」。
工作負載身分
Cloud de Confiance 為工作負載提供下列類型的身分識別服務:
Workload Identity Federation 可讓工作負載使用 IdP 提供的身分,存取大部分 Cloud de Confiance 服務。使用 Workload Identity Federation 的工作負載可在 Cloud de Confiance、Google Kubernetes Engine (GKE) 或其他平台 (例如 AWS、Azure 和 GitHub) 上執行。
Cloud de Confiance 服務帳戶可做為工作負載的身分。您不必直接授予工作負載存取權,而是授予服務帳戶存取權,然後讓工作負載使用該服務帳戶做為身分。
代管工作負載身分 (預先發布版) 可讓您將經過嚴格驗證的身分繫結至 Compute Engine 工作負載。您可以使用受管理的工作負載身分,透過雙向傳輸層安全標準 (mTLS) 向其他工作負載驗證工作負載,但無法用於向 Cloud de Confiance API 驗證。
可用的方法取決於工作負載的執行位置。
如果您在 Cloud de Confiance上執行工作負載,可以使用下列方法設定工作負載身分:
Workload Identity Federation for GKE:授予 GKE 叢集和 Kubernetes 服務帳戶 IAM 存取權。這樣一來,叢集的工作負載就能直接存取大部分的 Cloud de Confiance 服務,不必使用 IAM 服務帳戶模擬。
附加服務帳戶:將服務帳戶附加至資源,讓服務帳戶做為資源的預設身分。在資源上執行的任何工作負載,存取Cloud de Confiance 服務時都會使用服務帳戶的身分。
短期服務帳戶憑證:每當資源需要存取Cloud de Confiance 服務時,請產生並使用短期服務帳戶憑證。最常見的憑證類型是 OAuth 2.0 存取權杖和 OpenID Connect (OIDC) ID 權杖。
如果您在 Cloud de Confiance以外執行工作負載,可以使用下列方法設定工作負載身分:
- Workload Identity 聯盟:使用外部身分識別提供者的憑證產生短期憑證,工作負載可使用這些憑證暫時模擬服務帳戶。工作負載隨後就能以服務帳戶做為身分,存取Cloud de Confiance 資源。
服務帳戶金鑰:使用服務帳戶公開/私密 RSA 金鑰組的私密部分,以服務帳戶身分進行驗證。
如要進一步瞭解這些設定工作負載身分的方法,請參閱「工作負載身分總覽」。