Las identidades de cargas de trabajo administradas te permiten vincular identidades certificadas a tus cargas de trabajo de Google Kubernetes Engine (GKE) y Compute Engine. Esto también incluye identidades de agentes, que están diseñadas para cargas de trabajo de agentes.
Cloud de Confiance by S3NS proporciona credenciales X.509 y anclas de confianza que se emiten desde Certificate Authority Service. Las credenciales y las anclas de confianza se pueden usar para autenticar de forma confiable tu carga de trabajo con otras cargas de trabajo a través de la autenticación TLS mutua (mTLS).
Están disponibles las siguientes funciones:
- Identidades para cargas de trabajo administradas para GKE (versión preliminar)
- Identidades para cargas de trabajo administradas para Compute Engine (versión preliminar)
- Solicita acceso a las identidades para cargas de trabajo administradas para Compute Engine (versión preliminar)
- Identidades del agente
Interoperabilidad de SPIFFE
Para habilitar la interoperabilidad en entornos dinámicos y heterogéneos, las identidades para cargas de trabajo administradas se basan en el Framework de identidad de producción segura para todos (SPIFFE). SPIFFE define un framework y un conjunto de estándares para identificar, autenticar y proteger las comunicaciones entre cargas de trabajo. Las cargas de trabajo de SPIFFE se identifican con un ID de SPIFFE único. En Cloud de Confiance, un ID de SPIFFE tiene los siguientes formatos:
Cargas de trabajo de Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCargas de trabajo de GKE:
spiffe://PROJECT_ID.s3ns.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNTCargas de trabajo de identidad del agente:
spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME
Jerarquía de recursos
En esta sección, se describen los recursos de identidad para cargas de trabajo administradas.
Grupos de identidades para cargas de trabajo
Las identidades para cargas de trabajo administradas se definen dentro de un grupo de identidades para cargas de trabajo, que actúa como un límite de confianza para todas las identidades dentro del grupo. El grupo de identidades para cargas de trabajo forma el componente de dominio de confianza del identificador SPIFFE de la identidad de trabajo administrada. Te recomendamos crear un grupo nuevo para cada entorno lógico de tu organización, como desarrollo, etapa de pruebas o producción.
Espacios de nombres
Dentro de un grupo de identidades para cargas de trabajo, las identidades de cargas de trabajo administradas se organizan en límites administrativos llamados espacios de nombres. Los espacios de nombres te ayudan a organizar y otorgar acceso a las identidades para cargas de trabajo relacionadas.
Políticas de certificación
La identidad para cargas de trabajo administradas para Compute Engine requiere que configures políticas de certificación.
La identidad para cargas de trabajo administradas para GKE administra las políticas de certificación por ti.
Las políticas de certificación de cargas de trabajo te permiten definir a qué carga de trabajo se le puede emitir una credencial para una identidad de carga de trabajo administrada según los atributos verificables de la carga de trabajo, como el ID del proyecto o el nombre del recurso. Una política de certificación para cargas de trabajos garantiza que solo las cargas de trabajo de confianza puedan usar la identidad administrada.
¿Qué sigue?
Configura la autenticación para cargas de trabajo administradas para Compute Engine.
Configura la autenticación para cargas de trabajo administradas para GKE.
Obtén más información sobre cómo usar identidades para cargas de trabajo administradas con cargas de trabajo de Compute Engine.
Obtén más información sobre el uso de la identidad del agente con Agent Platform Agent Engine.