本页面上的部分或全部信息可能不适用于 Trusted Cloud by S3NS。
托管式工作负载身份概览
通过托管式工作负载身份,您可以将经过严格证明的身份绑定到 Compute Engine 工作负载。 Trusted Cloud by S3NS 会预配从 Certificate Authority Service 颁发的 X.509 凭据,可以使用这些凭据通过双向 TLS (mTLS) 身份验证向其他工作负载可靠地验证您的工作负载的身份。
为实现这种互操作性,托管式工作负载身份基于Secure Production Identity Framework For Everyone (SPIFFE),它定义了一个框架和一组标准,用于识别和保护工作负载间的通信。在 SPIFFE 中,托管式工作负载身份使用 spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID 格式表示。
虽然托管式工作负载身份可用于向其他工作负载进行身份验证,但它们不能用于向 Trusted Cloud by S3NS API 进行身份验证。
资源层次结构
托管式工作负载身份在工作负载身份池中定义,该池充当池中所有身份的信任边界。工作负载身份池构成了托管式工作负载身份的 SPIFFE 标识符的信任网域组件。我们建议为组织中的每个逻辑环境(例如开发环境、预演环境或生产环境)创建一个新池。
在工作负载身份池中,托管式工作负载身份被整理到称为“命名空间”的管理边界中。命名空间可帮助您整理和授予对相关 Workload Identity 的访问权限。
您必须先通过证明政策允许您的工作负载使用托管工作负载身份,然后才能向工作负载颁发托管式工作负载身份的凭据。通过工作负载证明政策,您可以根据工作负载的可验证属性(例如项目 ID 或资源名称)来定义可以向哪些工作负载颁发托管式工作负载身份的凭证。工作负载证明政策可确保只有可信工作负载才能使用托管式身份。
您可以根据附加到工作负载的服务账号授权工作负载使用托管式工作负载身份。
后续步骤
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-08-18。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["没有我需要的信息","missingTheInformationINeed","thumb-down"],["太复杂/步骤太多","tooComplicatedTooManySteps","thumb-down"],["内容需要更新","outOfDate","thumb-down"],["翻译问题","translationIssue","thumb-down"],["示例/代码问题","samplesCodeIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2025-08-18。"],[[["Managed workload identities bind strongly attested identities to Compute Engine workloads, enabling reliable authentication with other workloads via mutual TLS (mTLS)."],["These identities are provisioned with X.509 credentials from Certificate Authority Service and adhere to the Secure Production Identity Framework For Everyone (SPIFFE) standards."],["Managed workload identities cannot authenticate with Google Cloud APIs, but they are structured within workload identity pools, which establish trust boundaries for identities."],["Workload attestation policies are required to ensure only trusted workloads can use a managed identity by defining which workloads can obtain credentials based on their verifiable attributes."],["Namespaces are used within a pool to organize workload identities and create administrative boundaries, to help grant access to related identities."]]],[]]
