受管理的工作負載身分總覽

透過受管理的工作負載身分,您可以將經過嚴格驗證的身分繫結至 Google Kubernetes Engine (GKE) 和 Compute Engine 工作負載。

Trusted Cloud by S3NS 提供從憑證授權單位服務核發的 X.509 憑證和信任錨點。您可以使用憑證和信任錨點,透過相互傳輸層安全標準 (mTLS) 驗證,與其他工作負載進行可靠的驗證。

GKE 的受管理工作負載身分現已推出預先發布版。 Compute Engine 的代管工作負載身分現已推出預先發布版,如有需要,請提出要求。申請 Compute Engine 預先發布版的受管理工作負載身分存取權

SPIFFE 互通性

為確保動態異質環境之間的互通性,受管理的工作負載身分是以 Secure Production Identity Framework For Everyone (SPIFFE) 為基礎。SPIFFE 定義了架構和一組標準,用於識別、驗證工作負載,以及確保工作負載之間的通訊安全。SPIFFE 工作負載會以專屬 SPIFFE ID 識別。在 Trusted Cloud中,SPIFFE ID 的格式如下:

  • Compute Engine 工作負載:

    spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID

  • GKE 工作負載:

    spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT

資源階層

本節說明受管理的工作負載身分識別資源。

Workload Identity 集區

受管理的工作負載身分是在工作負載身分集區中定義,該集區會做為集區內所有身分的信任邊界。工作負載身分集區會構成受管理工作負載身分 SPIFFE ID 的信任網域元件。建議您為機構中的每個邏輯環境 (例如開發、測試或實際工作環境) 建立新的集區。

命名空間

在工作負載身分集區中,受管理的工作負載身分會整理成稱為「命名空間」的管理界線。命名空間可協助您整理及授予相關工作負載身分的存取權。

認證政策

如要為 Compute Engine 使用受管理的工作負載身分,必須設定驗證政策

GKE 的受管理工作負載身分會為您管理驗證政策。

您可以根據工作負載的可驗證屬性 (例如專案 ID 或資源名稱),透過工作負載驗證政策定義可核發受管理工作負載身分憑證的工作負載。工作負載認證政策可確保只有受信任的工作負載可以使用受管理的身分。

後續步驟