יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית של זהויות מנוהלות של עומסי עבודה

זהויות מנוהלות של עומסי עבודה מאפשרות לכם לקשר זהויות מאומתות לעומסי העבודה שלכם ב-Google Kubernetes Engine ‏ (GKE) וב-Compute Engine. ההגדרה הזו כוללת גם זהויות של סוכנים, שמיועדות לעומסי עבודה של סוכנים.

‫Cloud de Confiance by S3NS provisioning של פרטי כניסה ונקודות עוגן מהימנות מסוג X.509 שהונפקו על ידי Certificate Authority Service. אפשר להשתמש באישורים ובנקודות העוגן של האמון כדי לאמת באופן מהימן את עומס העבודה עם עומסי עבודה אחרים באמצעות אימות TLS בו-זמני (mTLS).

התכונות הבאות זמינות:

זהויות מנוהלות של עומסי עבודה ל-GKE‏ (Preview)
זהויות מנוהלות של עומסי עבודה ב-Compute Engine (תצוגה מקדימה)
בקשת גישה לזהויות מנוהלות של עומסי עבודה ב-Compute Engine (תצוגה מקדימה)
זהויות של נציגים

יכולת פעולה הדדית של SPIFFE

כדי לאפשר פעולה הדדית בסביבות דינמיות והטרוגניות, הזהויות המנוהלות של עומסי עבודה מבוססות על Secure Production Identity Framework For Everyone (SPIFFE). ‫SPIFFE מגדיר מסגרת וקבוצה של תקנים לזיהוי, לאימות ולאבטחת תקשורת בין עומסי עבודה. עומסי עבודה של SPIFFE מזוהים באמצעות מזהה SPIFFE ייחודי. ב- Cloud de Confiance, מזהה SPIFFE הוא באחד מהפורמטים הבאים:

עומסי עבודה ב-Compute Engine:

spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID
עומסי עבודה (workloads) ב-GKE:

spiffe://PROJECT_ID.s3ns.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
עומסי עבודה של זהות הסוכן:

spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME

היררכיית המשאבים

בקטע הזה מתוארים משאבים מנוהלים של זהויות של עומסי עבודה.

מאגר זהויות של כוח עבודה

זהויות מנוהלות של עומסי עבודה מוגדרות במאגר זהויות של עומסי עבודה, שמשמש כגבול מהימן לכל הזהויות במאגר. מאגר הזהויות של עומס העבודה יוצר את רכיב דומיין האמון של מזהה ה-SPIFFE של הזהות המנוהלת של עומס העבודה. מומלץ ליצור מאגר חדש לכל סביבה לוגית בארגון, כמו סביבות פיתוח, Staging או ייצור.

מרחבי שמות

בתוך מאגר זהויות של עומסי עבודה, הזהויות המנוהלות של עומסי העבודה מאורגנות בגבולות אדמיניסטרטיביים שנקראים מרחבי שמות. מרחבי שמות עוזרים לכם לארגן זהויות קשורות של עומסי עבודה ולהעניק להן גישה.

מדיניות אימות

כדי להשתמש ב-Workload Identity מנוהל ב-Compute Engine, צריך להגדיר מדיניות אימות.

התכונה 'זהויות מנוהלות של עומסי עבודה' ב-GKE מנהלת בשבילכם את מדיניות האימות.

כללי מדיניות לאימות עומסי עבודה מאפשרים להגדיר לאיזה עומס עבודה אפשר להנפיק פרטי כניסה לזהות מנוהלת של עומס עבודה, על סמך מאפיינים ניתנים לאימות של עומס העבודה, כמו מזהה פרויקט או שם משאב. מדיניות אימות של עומס עבודה מוודאת שרק עומסי עבודה מהימנים יכולים להשתמש בזהות המנוהלת.