As identidades de carga de trabalho geridas permitem-lhe associar identidades fortemente atestadas às suas cargas de trabalho do Google Kubernetes Engine (GKE) e do Compute Engine.
Trusted Cloud by S3NS fornece credenciais X.509 e pontos de confiança emitidos pelo serviço de autoridade de certificação. As credenciais e as âncoras de confiança podem ser usadas para autenticar de forma fiável a sua carga de trabalho com outras cargas de trabalho através da autenticação TLS mútuo (mTLS).
As identidades de cargas de trabalho geridas para o GKE estão disponíveis na pré-visualização. As identidades de cargas de trabalho geridas para o Compute Engine estão disponíveis em pré-visualização, mediante pedido. Peça acesso às identidades de cargas de trabalho geridas para a pré-visualização do Compute Engine.
Interoperabilidade SPIFFE
Para permitir a interoperabilidade em ambientes dinâmicos e heterogéneos, as identidades de cargas de trabalho geridas baseiam-se no Secure Production Identity Framework For Everyone (SPIFFE). O SPIFFE define uma framework e um conjunto de normas para identificar, autenticar e proteger as comunicações entre cargas de trabalho. As cargas de trabalho SPIFFE são identificadas por um ID SPIFFE exclusivo. No Trusted Cloud, um ID SPIFFE tem os seguintes formatos:
Cargas de trabalho do Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCargas de trabalho do GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
Hierarquia de recursos
Esta secção descreve os recursos de identidade de carga de trabalho geridos.
Workload Identity Pools
As identidades de cargas de trabalho geridas são definidas num Workload Identity Pool, que funciona como um limite de confiança para todas as identidades no conjunto. O Workload Identity Pool forma o componente do domínio de confiança do identificador SPIFFE da identidade da carga de trabalho gerida. Recomendamos que crie um novo conjunto para cada ambiente lógico na sua organização, como desenvolvimento, teste ou produção.
Espaços de nomes
Num Workload Identity Pool, as identidades de cargas de trabalho geridas são organizadas em limites administrativos denominados namespaces. Os espaços de nomes ajudam a organizar e conceder acesso a identidades de cargas de trabalho relacionadas.
Políticas de atestação
O Workload Identity gerido para o Compute Engine requer que configure políticas de atestação.
A identidade de carga de trabalho gerida para o GKE gere as políticas de atestação por si.
As políticas de atestação da carga de trabalho permitem-lhe definir a carga de trabalho à qual pode ser emitida uma credencial para uma identidade da carga de trabalho gerida com base nos atributos validáveis da carga de trabalho, como o ID do projeto ou o nome do recurso. Uma política de atestação de carga de trabalho garante que apenas as cargas de trabalho fidedignas podem usar a identidade gerida.
O que se segue?
Configure a autenticação de identidade da carga de trabalho gerida para o Compute Engine.
Configure a autenticação de identidade da carga de trabalho gerida para o GKE.
Saiba mais sobre a utilização de identidades de carga de trabalho geridas com cargas de trabalho do Compute Engine.