Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Identidades para cargas de trabalho

Esta página descreve os tipos de identidades que pode usar para configurar o acesso das suas cargas de trabalho aos Trusted Cloud by S3NS recursos.

Trusted Cloud fornece os seguintes tipos de identidades para cargas de trabalho:

A federação de identidade da carga de trabalho e a federação de identidade da carga de trabalho para o GKE permitem que as suas cargas de trabalho acedam à maioria Trusted Cloud dos serviços através de identidades federadas que são autenticadas através de um fornecedor de identidade (IdP) externo. Depois de Trusted Cloud autenticar a identidade como um principal, o principal pode aceder aos recursos através das funções da IAM que lhe concede.
As Trusted Cloud contas de serviço podem atuar como identidades para cargas de trabalho em ambientes de produção. Em vez de conceder acesso diretamente a uma carga de trabalho, concede acesso a uma conta de serviço e, em seguida, faz com que a carga de trabalho use a conta de serviço como a respetiva identidade.
As identidades de cargas de trabalho geridas (pré-visualização) permitem associar identidades fortemente atestadas às suas cargas de trabalho do Compute Engine e do GKE.

Os tipos de identidades que pode usar para cargas de trabalho e a forma como as configura dependem de onde as cargas de trabalho estão a ser executadas.

Configure cargas de trabalho no Trusted Cloud

Se estiver a executar cargas de trabalho no Trusted Cloud, pode usar os seguintes métodos para configurar identidades para as suas cargas de trabalho:

Contas de serviço anexadas
Federação de identidade da carga de trabalho para o GKE (apenas para cargas de trabalho executadas no Google Kubernetes Engine)
Identidades de cargas de trabalho geridas (apenas para cargas de trabalho executadas no Compute Engine e no GKE)
Chaves de contas de serviço

Contas de serviço anexadas

Para alguns Trusted Cloud recursos, pode especificar uma conta de serviço gerida pelo utilizador que o recurso usa como identidade predefinida. Este processo é conhecido como anexar a conta de serviço ao recurso ou associar a conta de serviço ao recurso. Quando o código executado no recurso acede a Trusted Cloud serviços e recursos, usa a conta de serviço anexada ao recurso como a respetiva identidade. Por exemplo, se anexar uma conta de serviço a uma instância do Compute Engine e as aplicações na instância usarem uma biblioteca cliente para chamar Trusted Cloud APIs, essas aplicações usam automaticamente a conta de serviço anexada para autenticação e autorização.

Na maioria dos casos, tem de anexar uma conta de serviço a um recurso quando cria esse recurso. Depois de o recurso ser criado, não pode alterar a conta de serviço associada ao recurso. As instâncias do Compute Engine são uma exceção a esta regra. Pode alterar a conta de serviço associada a uma instância conforme necessário.

Para saber mais, consulte o artigo Associe uma conta de serviço a um recurso.

Workload Identity Federation para o GKE

Para cargas de trabalho executadas no GKE, a federação de identidade da carga de trabalho para o GKE permite-lhe conceder funções do IAM a conjuntos distintos e detalhados de responsáveis, para cada aplicação no seu cluster. A federação de identidades da carga de trabalho para o GKE permite que as contas de serviço do Kubernetes no seu cluster do GKE acedam diretamente aos recursos, através da federação de identidades da carga de trabalho, ou indiretamente, através da representação de contas de serviço do IAM. Trusted Cloud

Ao usar o acesso direto aos recursos, pode conceder funções do IAM à identidade da conta de serviço do Kubernetes diretamente nos recursos do serviço. Trusted Cloud A maioria das Trusted Cloud APIs suporta o acesso direto aos recursos. No entanto, quando usa a federação de identidades, determinados métodos da API podem ter limitações. Para ver uma lista destas limitações, consulte o artigo Produtos suportados e limitações.

Em alternativa, as cargas de trabalho também podem usar a representação da conta de serviço, em que a conta de serviço do Kubernetes configurada está associada a uma conta de serviço do IAM, que serve como identidade ao aceder às APIs. Trusted Cloud

Para saber mais sobre a federação de identidades da carga de trabalho do GKE, consulte o artigo Federação de identidades da carga de trabalho do GKE.

Identidades de carga de trabalho geridas

As identidades de carga de trabalho geridas permitem-lhe associar identidades fortemente atestadas às suas cargas de trabalho do Compute Engine e do GKE. Pode usar identidades de carga de trabalho geridas para autenticar as suas cargas de trabalho noutras cargas de trabalho através do mTLS.

Para saber mais acerca das identidades de cargas de trabalho geridas e como configurar plataformas para as usar, consulte o artigo Vista geral das identidades de cargas de trabalho geridas.

Configure cargas de trabalho externas

Se estiver a executar cargas de trabalho fora do Trusted Cloud, pode usar os seguintes métodos para configurar identidades para as suas cargas de trabalho:

Workload Identity Federation
Chaves de contas de serviço

Workload Identity Federation

Pode usar a Workload Identity Federation com cargas de trabalho no Trusted Cloud ou cargas de trabalho externas executadas em plataformas como AWS, Azure, GitHub e GitLab.

A federação de identidades da carga de trabalho permite-lhe usar credenciais de fornecedores de identidade externos, como AWS, Azure e Active Directory, para gerar credenciais de curta duração que as cargas de trabalho podem usar para se fazerem passar temporariamente por contas de serviço. Em seguida, as cargas de trabalho podem aceder aos recursos Trusted Cloud, usando a conta de serviço como identidade.

A Workload Identity Federation é a forma preferencial de configurar identidades para cargas de trabalho externas.

Para saber mais sobre a federação de identidades da carga de trabalho, consulte o artigo Federação de identidades da carga de trabalho.

Chaves de contas de serviço

Uma chave de conta de serviço permite que uma carga de trabalho se autentique como uma conta de serviço e, em seguida, use a identidade da conta de serviço para autorização.

Nota: As chaves de contas de serviço representam um risco de segurança se não forem geridas corretamente. Deve escolher uma alternativa mais segura às chaves de contas de serviço sempre que possível. Se tiver de fazer a autenticação com uma chave de conta de serviço, é responsável pela segurança da chave privada e por outras operações descritas nas Práticas recomendadas de gestão de chaves de contas de serviço. Se não conseguir criar uma chave de conta de serviço, a criação de chaves de contas de serviço pode estar desativada para a sua organização. Para mais informações, consulte o artigo Gerir recursos da organização seguros por predefinição.

Se adquiriu a chave da conta de serviço a partir de uma fonte externa, tem de a validar antes de a usar. Para mais informações, consulte os Requisitos de segurança para credenciais de origem externa.

Desenvolvimento local

Se estiver a desenvolver num ambiente local, pode configurar cargas de trabalho para usar as suas credenciais de utilizador ou uma conta de serviço para autenticação e autorização. Para mais informações, consulte o artigo Ambiente de desenvolvimento local na documentação de autenticação.

O que se segue?

Saiba como configurar a autenticação através de contas de serviço.
Saiba como configurar a autenticação para um ambiente de desenvolvimento local.
Saiba como conceder às contas de serviço acesso a recursos.