Es posible que parte o toda la información de esta página no se aplique a Cloud de Confiance de S3NS. Para obtener más información, consulta Diferencias con respecto a Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Identidades de cargas de trabajo

En esta página se describen los tipos de identidades que puedes usar para configurar el acceso de tus cargas de trabajo a los recursos de Cloud de Confiance by S3NS .

Cloud de Confiance proporciona los siguientes tipos de identidades para cargas de trabajo:

Federación de identidades de cargas de trabajo y Federación de identidades de cargas de trabajo para GKE permiten que tus cargas de trabajo accedan a la mayoría de los servicios de Cloud de Confiance mediante identidades federadas que se autentican a través de un proveedor de identidades (IdP) externo. Una vez que Cloud de Confiance autentica la identidad como principal, el principal puede acceder a los recursos mediante los roles de gestión de identidades y accesos que le concedas.
Las Cloud de Confiance cuentas de servicio pueden actuar como identidades de cargas de trabajo en entornos de producción. En lugar de conceder acceso directamente a una carga de trabajo, concede acceso a una cuenta de servicio y, a continuación, haz que la carga de trabajo use la cuenta de servicio como su identidad.
Las identidades de carga de trabajo gestionadas (vista previa) te permiten vincular identidades con certificación sólida a tus cargas de trabajo de Compute Engine y GKE.

Los tipos de identidades que puedes usar para las cargas de trabajo y la forma de configurarlas dependen de dónde se ejecuten las cargas de trabajo.

Configurar cargas de trabajo en Cloud de Confiance

Si ejecutas cargas de trabajo en Cloud de Confiance, puedes usar los siguientes métodos para configurar identidades para tus cargas de trabajo:

Cuentas de servicio asociadas
Workload Identity Federation para GKE (solo para cargas de trabajo que se ejecutan en Google Kubernetes Engine)
Identidades de carga de trabajo gestionadas (solo para cargas de trabajo que se ejecutan en Compute Engine y GKE)
Claves de cuenta de servicio

Cuentas de servicio asociadas

En algunos Cloud de Confiance recursos, puedes especificar una cuenta de servicio gestionada por el usuario que el recurso utilice como identidad predeterminada. Este proceso se conoce como asignación de la cuenta de servicio al recurso o asociación de la cuenta de servicio al recurso. Cuando el código que se ejecuta en el recurso accede a Cloud de Confiance servicios y recursos, utiliza la cuenta de servicio asociada al recurso como identidad. Por ejemplo, si asocias una cuenta de servicio a una instancia de Compute Engine y las aplicaciones de la instancia usan una biblioteca de cliente para llamar a las APIs Cloud de Confiance , esas aplicaciones usarán automáticamente la cuenta de servicio asociada para la autenticación y la autorización.

En la mayoría de los casos, debes asociar una cuenta de servicio a un recurso cuando crees ese recurso. Una vez creado el recurso, no se puede cambiar la cuenta de servicio asociada. Las instancias de Compute Engine son una excepción a esta regla: puedes cambiar la cuenta de servicio que está asociada a una instancia según sea necesario.

Para obtener más información, consulta el artículo Asociar una cuenta de servicio a un recurso.

Workload Identity Federation para GKE

En el caso de las cargas de trabajo que se ejecutan en GKE, Workload Identity Federation for GKE te permite asignar roles de gestión de identidades y accesos a conjuntos de principales distintos y detallados para cada aplicación de tu clúster. Workload Identity Federation para GKE permite que las cuentas de servicio de Kubernetes de tu clúster de GKE accedan a los recursos Cloud de Confiance directamente, mediante Workload Identity Federation, o indirectamente, mediante la suplantación de la cuenta de servicio de IAM.

Si usas el acceso directo a recursos, puedes asignar roles de gestión de identidades y accesos a la identidad de la cuenta de servicio de Kubernetes directamente en los recursos del servicio. Cloud de Confiance La mayoría de las APIs admiten el acceso directo a los recursos. Cloud de Confiance Sin embargo, al usar la federación de identidades, es posible que algunos métodos de la API tengan limitaciones. Para ver una lista de estas limitaciones, consulte Productos compatibles y limitaciones.

Como alternativa, las cargas de trabajo también pueden usar la suplantación de identidad de cuenta de servicio, en la que la cuenta de servicio de Kubernetes configurada se vincula a una cuenta de servicio de gestión de identidades y accesos, que actúa como identidad al acceder a las APIs de Cloud de Confiance.

Para obtener más información sobre Workload Identity Federation para GKE, consulta Workload Identity Federation para GKE.

Identidades de cargas de trabajo gestionadas

Las identidades de carga de trabajo gestionadas te permiten vincular identidades con certificación sólida a tus cargas de trabajo de Compute Engine y GKE. Puedes usar identidades de carga de trabajo gestionadas para autenticar tus cargas de trabajo en otras cargas de trabajo mediante mTLS.

Para obtener más información sobre las identidades de carga de trabajo gestionadas y cómo configurar las plataformas para usarlas, consulta el resumen de las identidades de carga de trabajo gestionadas.

Configurar cargas de trabajo externas

Si ejecutas cargas de trabajo fuera de Cloud de Confiance, puedes usar los siguientes métodos para configurar identidades para tus cargas de trabajo:

Federación de identidades de cargas de trabajo
Claves de cuenta de servicio

Federación de identidades de cargas de trabajo

Puedes usar Workload Identity Federation con cargas de trabajo en Cloud de Confiance o cargas de trabajo externas que se ejecuten en plataformas como AWS, Azure, GitHub y GitLab.

La federación de identidades de cargas de trabajo te permite usar credenciales de proveedores de identidades externos, como AWS, Azure y Active Directory, para generar credenciales de corta duración que las cargas de trabajo pueden usar para suplantar temporalmente cuentas de servicio. Las cargas de trabajo pueden acceder a los recursos de Cloud de Confiance usando la cuenta de servicio como identidad.

Workload Identity Federation es la forma preferida de configurar identidades para cargas de trabajo externas.

Para obtener más información sobre la federación de identidades de cargas de trabajo, consulta Federación de identidades de cargas de trabajo.

Claves de cuenta de servicio

Una clave de cuenta de servicio permite que una carga de trabajo se autentique como cuenta de servicio y, a continuación, use la identidad de la cuenta de servicio para la autorización.

Nota: Las claves de las cuentas de servicio suponen un riesgo para la seguridad si no se gestionan adecuadamente. Siempre que sea posible, deberías elegir una alternativa más segura a las claves de cuentas de servicio. Si debes autenticarte con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones descritas en las prácticas recomendadas para gestionar las claves de cuentas de servicio. Si no puedes crear una clave de cuenta de servicio, es posible que la creación de claves de cuenta de servicio esté inhabilitada en tu organización. Para obtener más información, consulta el artículo sobre gestionar recursos de organización seguros de forma predeterminada.

Si has obtenido la clave de cuenta de servicio de una fuente externa, debes validarla antes de usarla. Para obtener más información, consulta los requisitos de seguridad de las credenciales de fuentes externas.

Desarrollo local

Si desarrollas en un entorno local, puedes configurar las cargas de trabajo para que usen tus credenciales de usuario o una cuenta de servicio para la autenticación y la autorización. Para obtener más información, consulta Entorno de desarrollo local en la documentación de autenticación.

Siguientes pasos

Consulta cómo configurar la autenticación mediante cuentas de servicio.
Consulta cómo configurar la autenticación en un entorno de desarrollo local.
Consulta cómo conceder acceso a recursos a cuentas de servicio.