יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

זהויות לעומסי עבודה

בדף הזה מתוארים סוגי הזהויות שבהם אפשר להשתמש כדי להגדיר את הגישה של עומסי העבודה למשאבי Cloud de Confiance by S3NS .

‫Cloud de Confiance מספקת את סוגי הזהויות הבאים לעומסי עבודה:

איחוד זהויות של עומסי עבודה ואיחוד זהויות של עומסי עבודה ל-GKE מאפשרים לעומסי העבודה שלכם לגשת לרוב Cloud de Confiance השירותים באמצעות זהויות מאוחדות שאומתו דרך ספק זהויות חיצוני (IdP). אחרי ש-Cloud de Confiance מאמת את הזהות כחשבון משתמש, לחשבון המשתמש יש גישה למשאבים באמצעות תפקידי IAM שהקציתם.
Cloud de Confiance חשבונות שירות יכולים לשמש כזהויות לעומסי עבודה בסביבות ייצור. במקום לתת גישה ישירות לעומס עבודה, נותנים גישה לחשבון שירות, ואז עומס העבודה משתמש בחשבון השירות כזהות שלו.
זהויות מנוהלות של עומסי עבודה מאפשרות לכם לקשר זהויות עם אימות חזק לעומסי העבודה שלכם ב-Compute Engine וב-GKE.
זהויות של סוכנים הן זהויות שמנוהלות על ידי Google לעומסי עבודה של סוכנים. הזהויות של הנציגים מאומתות וקשורות למחזור החיים שלהם. השיטה הזו מאפשרת לנהל את הגישה של הסוכן למשאבים בצורה מאובטחת יותר מאשר באמצעות חשבונות שירות. Cloud de Confiance

סוגי הזהויות שבהם אפשר להשתמש לעומסי עבודה והאופן שבו מגדירים אותן תלויים במקום שבו עומסי העבודה פועלים.

הגדרת עומסי עבודה ב- Cloud de Confiance

אם אתם מריצים עומסי עבודה ב- Cloud de Confiance, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות לעומסי העבודה:

חשבונות שירות מצורפים
איחוד זהויות של עומסי עבודה ל-GKE (לעומסי עבודה שפועלים רק ב-Google Kubernetes Engine)
זהויות מנוהלות של עומסי עבודה (לעומסי עבודה שפועלים רק ב-Compute Engine וב-GKE)
מפתחות של חשבונות שירות

חשבונות שירות מצורפים

בחלק מהמשאבים של Cloud de Confiance Google Cloud אפשר לציין חשבון שירות שמנוהל על ידי משתמש, שישמש את המשאב כזהות ברירת המחדל שלו. התהליך הזה נקרא צירוף חשבון השירות למשאב או שיוך חשבון השירות למשאב. כשקוד שרץ על משאב ניגש לשירותים ולמשאבים, הוא משתמש בחשבון השירות שמצורף למשאב בתור הזהות שלו. Cloud de Confiance לדוגמה, אם מצרפים חשבון שירות למכונה של Compute Engine, והאפליקציות במכונה משתמשות בספריית לקוח כדי לקרוא ל-API של Cloud de Confiance , האפליקציות האלו משתמשות אוטומטית בחשבון השירות המצורף לצורך אימות והרשאה.

ברוב המקרים, צריך לצרף חשבון שירות למשאב כשיוצרים את המשאב. אחרי שיוצרים את המשאב, אי אפשר להחליף את חשבון השירות שמצורף אליו. המכונות של Compute Engine הן החרגה לכלל הזה; אפשר להחליף את חשבון השירות שמקושר למכונה לפי הצורך.

מידע נוסף זמין במאמר צירוף חשבון שירות למשאב.

איחוד זהויות של עומסי עבודה ל-GKE

כשמריצים עומסי עבודה ב-GKE, איחוד זהויות של עומסי עבודה ל-GKE מאפשר להעניק תפקידי IAM לקבוצות נפרדות ומפורטות של ישויות, לכל אפליקציה באשכול. איחוד שירותי אימות הזהות של עומסי עבודה ב-GKE מאפשר לחשבונות שירות של Kubernetes באשכול GKE לגשת למשאבי Cloud de Confianceישירות באמצעות איחוד שירותי אימות הזהות של עומסי עבודה, או בעקיפין באמצעות התחזות לחשבון שירות של IAM.

באמצעות גישה ישירה למשאבים, אתם יכולים להקצות תפקידי IAM לזהות של חשבון השירות ב-Kubernetes ישירות למשאבים של שירות Cloud de Confiance . רוב ממשקי ה-API‏ Cloud de Confiance תומכים בגישה ישירה למשאבים. עם זאת, כשמשתמשים באיחוד שירותי אימות הזהות, יכול להיות שיהיו מגבלות על שיטות מסוימות של API. רשימה של המגבלות האלה זמינה במאמר מוצרים נתמכים ומגבלות.

לחלופין, עומסי עבודה יכולים גם להתחזות לחשבון שירות, שבו חשבון השירות המוגדר ב-Kubernetes קשור לחשבון שירות ב-IAM, שמשמש כזהות כשניגשים לממשקי API של Cloud de Confiance.

מידע נוסף על איחוד זהויות של עומסי עבודה ל-GKE זמין במאמר איחוד זהויות של עומסי עבודה ל-GKE.

זהויות מנוהלות של עומסי עבודה

זהויות מנוהלות של עומסי עבודה מאפשרות לכם לקשר זהויות עם אימות חזק לעומסי העבודה שלכם ב-Compute Engine וב-GKE. אתם יכולים להשתמש בזהויות מנוהלות של עומסי עבודה כדי לאמת את עומסי העבודה שלכם מול עומסי עבודה אחרים באמצעות mTLS.

מידע נוסף על זהויות מנוהלות של עומסי עבודה זמין במאמר סקירה כללית על זהויות מנוהלות של עומסי עבודה.

זהויות של נציגים

זהות של סוכן היא זהות שמנוהלת על ידי Google עבור עומסי עבודה של סוכנים. זהות הסוכן מאומתת ומקושרת למחזור החיים של הסוכן, וכך מתקבלת דרך מאובטחת יותר לניהול הגישה של הסוכן למשאבי Cloud de Confiance בהשוואה לשימוש בחשבונות שירות.

אמצעי בקרה קיימים לניהול גישה באמצעות סוכן IAM תומכים בזהות כדי לאפשר ניהול חזק.

מידע נוסף על זהויות של סוכנים ואיך משתמשים בהן זמין במאמר שימוש בזהות של סוכן ב-Vertex AI Agent Engine.

הגדרת עומסי עבודה חיצוניים

אם אתם מריצים עומסי עבודה מחוץ ל- Cloud de Confiance, אתם יכולים להשתמש בשיטות הבאות כדי להגדיר זהויות לעומסי העבודה:

איחוד שירותי אימות הזהות של עומסי עבודה
מפתחות של חשבונות שירות

איחוד שירותי אימות הזהות של עומסי עבודה

אתם יכולים להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה עם עומסי עבודה ב-Cloud de Confiance או עם עומסי עבודה חיצוניים שפועלים בפלטפורמות כמו AWS,‏ Azure,‏ GitHub ו-GitLab.

איחוד שירותי אימות הזהות של עומסי עבודה מאפשר להשתמש בפרטי כניסה מספקי זהויות חיצוניים כמו AWS,‏ Azure ו-Active Directory כדי ליצור פרטי כניסה לטווח קצר, שעומסי עבודה יכולים להשתמש בהם כדי להתחזות זמנית לחשבונות שירות. עומסי העבודה יכולים לגשת למשאבים Cloud de Confianceבאמצעות חשבון השירות בתור הזהות שלהם.

איחוד שירותי אימות הזהות של עומסי עבודה היא הדרך המועדפת להגדרת זהויות לעומסי עבודה חיצוניים.

מידע נוסף על איחוד שירותי אימות הזהות של עומסי עבודה זמין במאמר איחוד שירותי אימות הזהות של עומסי עבודה.

מפתחות של חשבונות שירות

מפתח של חשבון שירות מאפשר לעומס עבודה לבצע אימות כחשבון שירות, ואז להשתמש בזהות של חשבון השירות לצורך הרשאה.

הערה: אם לא מנהלים כראוי את המפתחות לחשבונות השירות הם עלולים לסכן את האבטחה. כשזה אפשרי, מומלץ לבחור שיטה מאובטחת יותר ממפתחות של חשבונות שירות. אם אתם מוכרחים לבצע אימות באמצעות מפתח של חשבון שירות, באחריותכם לאבטח את המפתח הפרטי ולבצע פעולות אחרות שמתוארות במאמר שיטות מומלצות לניהול מפתחות לחשבונות שירות. אם אין לכם אפשרות ליצור מפתח לחשבון שירות, יכול להיות שהיצירה של מפתחות לחשבון שירות מושבתת בארגון שלכם. מידע נוסף זמין במאמר בנושא ניהול משאבי ארגון שמוגדרים כמאובטחים כברירת מחדל.

אם קיבלתם את המפתח של חשבון השירות ממקור חיצוני, אתם צריכים לאמת אותו לפני השימוש. מידע נוסף זמין במאמר בנושא דרישות אבטחה לגבי אישורים ממקורות חיצוניים.

פיתוח מקומי

אם אתם מפתחים בסביבה מקומית, אתם יכולים להגדיר את עומסי העבודה כך שישתמשו בפרטי הכניסה של המשתמש או בחשבון שירות לצורך אימות והרשאה. מידע נוסף זמין במאמר סביבת פיתוח מקומית במסמכי האימות.