Las identidades de carga de trabajo gestionadas te permiten vincular identidades con certificación sólida a tus cargas de trabajo de Google Kubernetes Engine (GKE) y Compute Engine.
Trusted Cloud by S3NS proporciona credenciales X.509 y anclajes de confianza emitidos por el servicio de autoridad de certificación. Las credenciales y las anclas de confianza se pueden usar para autenticar de forma fiable tu carga de trabajo con otras cargas de trabajo mediante la autenticación TLS mutua (mTLS).
Las identidades de carga de trabajo gestionadas para GKE están disponibles en vista previa. Las identidades de carga de trabajo gestionadas para Compute Engine están disponibles en versión preliminar, bajo petición. Solicita acceso a las identidades de carga de trabajo gestionadas para la vista previa de Compute Engine.
Interoperabilidad de SPIFFE
Para habilitar la interoperabilidad en entornos dinámicos y heterogéneos, las identidades de carga de trabajo gestionadas se basan en Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE define un marco y un conjunto de estándares para identificar, autenticar y proteger las comunicaciones entre cargas de trabajo. Las cargas de trabajo de SPIFFE se identifican mediante un ID de SPIFFE único. En Trusted Cloud, un ID de SPIFFE tiene los siguientes formatos:
Cargas de trabajo de Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCargas de trabajo de GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Jerarquía de recursos
En esta sección se describen los recursos de identidad de carga de trabajo gestionada.
Grupos de identidades de carga de trabajo
Las identidades de carga de trabajo gestionadas se definen en un grupo de identidades de carga de trabajo, que actúa como límite de confianza para todas las identidades del grupo. El grupo de identidades de carga de trabajo forma el componente de dominio de confianza del identificador SPIFFE de la identidad de carga de trabajo gestionada. Te recomendamos que crees un nuevo grupo para cada entorno lógico de tu organización, como desarrollo, prueba o producción.
Espacios de nombres
Dentro de un grupo de identidades de carga de trabajo, las identidades de carga de trabajo gestionadas se organizan en límites administrativos denominados espacios de nombres. Los espacios de nombres te ayudan a organizar y conceder acceso a identidades de carga de trabajo relacionadas.
Políticas de atestación
La identidad de carga de trabajo gestionada de Compute Engine requiere que configures políticas de certificación.
Workload Identity gestionado para GKE gestiona las políticas de certificación por ti.
Las políticas de atestación de cargas de trabajo te permiten definir a qué cargas de trabajo se les puede emitir una credencial para una identidad de carga de trabajo gestionada en función de los atributos verificables de la carga de trabajo, como el ID de proyecto o el nombre del recurso. Una política de atestación de cargas de trabajo asegura que solo las cargas de trabajo de confianza puedan usar la identidad gestionada.
Siguientes pasos
Configura la autenticación de identidad de carga de trabajo gestionada para Compute Engine.
Configura la autenticación de identidad de carga de trabajo gestionada para GKE.
Consulta más información sobre cómo usar identidades de carga de trabajo gestionadas con cargas de trabajo de Compute Engine.