Esta página descreve os tipos de identidade que podem ser usados para configurar o acesso das cargas de trabalho aos Cloud de Confiance by S3NS recursos.
Cloud de Confiance O oferece os seguintes tipos de identidade para cargas de trabalho:
A federação de identidade da carga de trabalho e a federação de identidade da carga de trabalho para GKE permitem que as cargas de trabalho acessem a maioria dos Cloud de Confiance serviços usando identidades federadas que são autenticadas por um provedor de identidade externo (IdP). Depois que o Cloud de Confiance autentica a identidade como principal, ela pode acessar recursos usando os papéis do IAM que você concede.
Cloud de Confiance As contas de serviço podem atuar como identidades de cargas de trabalho em ambientes de produção. Em vez de conceder acesso a uma carga de trabalho diretamente, conceda acesso a uma conta de serviço e permita que a carga de trabalho utilize a conta de serviço como identidade.
As **identidades de cargas de trabalho gerenciadas** permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine e do GKE.
As **identidades de agente** são identidades gerenciadas pelo Google para cargas de trabalho com agentes. As identidades de agente são atestadas e vinculadas ao ciclo de vida dos agentes. Isso oferece uma maneira mais segura de gerenciar o acesso de agentes a Cloud de Confiance recursos do que usar contas de serviço.
Os tipos de identidades que podem ser usados para cargas de trabalho e a forma como elas são configuradas dependem de onde as cargas de trabalho são executadas.
Configurar cargas de trabalho no Cloud de Confiance
Se você estiver executando cargas de trabalho no Cloud de Confiance, use os seguintes métodos para configurar identidades para suas cargas de trabalho:
- Contas de serviço anexadas
- Federação de Identidade da Carga de Trabalho para GKE (somente para cargas de trabalho executadas no Google Kubernetes Engine)
- Identidades de carga de trabalho gerenciada (apenas para cargas de trabalho executadas no Compute Engine e no GKE)
- Chaves da conta de serviço
Contas de serviço anexadas
Para alguns Cloud de Confiance recursos, é possível especificar uma conta de serviço gerenciado pelo usuário que o recurso usa como sua identidade padrão. Esse processo é conhecido como anexar a conta de serviço ao recurso ou a associação da conta de serviço a ele. Quando o código em execução no recurso acessaserviços e recursos, ele usa a conta de serviço anexada ao recurso como identidade. Cloud de Confiance Por exemplo, se você anexar uma conta de serviço a uma instância do Compute Engine, e os aplicativos na instância usarem uma biblioteca de cliente para chamar Cloud de Confiance APIs, esses aplicativos usarão automaticamente a conta de serviço anexada para autenticação e autorização.
Na maioria dos casos, você precisa anexar uma conta de serviço a um recurso ao criá-lo. Após a criação do recurso, não será possível alterar a conta de serviço anexada ao recurso. As instâncias do Compute Engine são uma exceção a essa regra. É possível alterar a conta de serviço anexada a uma instância conforme necessário.
Para saber mais, consulte Anexar uma conta de serviço a um recurso.
Federação de identidade da carga de trabalho para o GKE
Para cargas de trabalho executadas no GKE, a Federação de Identidade da Carga de Trabalho para GKE permite conceder papéis do IAM a conjuntos de principais distintos e refinados para cada aplicativo no cluster. A Federação de Identidade da Carga de Trabalho para GKE permite que as contas de serviço do Kubernetes no cluster do GKE acessem Cloud de Confiancerecursos diretamente usando a federação de identidade da carga de trabalho ou indiretamente, usando a identidade temporária de conta de serviço do IAM.
Ao usar o acesso direto a recursos, é possível conceder papéis do IAM à identidade da conta de serviço do Kubernetes diretamente nos Cloud de Confiance recursos do serviço. A maioria das Cloud de Confiance APIs oferece suporte ao acesso direto a recursos. No entanto, ao usar a federação de identidade, alguns métodos de API podem ter limitações. Para ver uma lista de limitações, consulte Produtos com suporte e limitações.
Como alternativa, as cargas de trabalho também podem usar a representação de conta de serviço, onde a ServiceAccount do Kubernetes configurada é vinculada a uma conta de serviço do IAM, que serve como identidade ao acessar Cloud de Confiance APIs.
Para saber mais sobre a federação de identidade da carga de trabalho para GKE, consulte Federação de identidade da carga de trabalho para o GKE.
Identidades das cargas de trabalho gerenciadas
As identidades de cargas de trabalho gerenciadas permitem vincular identidades fortemente atestadas às cargas de trabalho do Compute Engine e do GKE. É possível usar identidades de carga de trabalho gerenciada para autenticar suas cargas de trabalho em outras cargas de trabalho usando mTLS.
Para saber mais sobre identidades de cargas de trabalho gerenciadas, consulte Visão geral das identidades de cargas de trabalho gerenciadas.
Identidades de agente
Uma identidade de agente é uma identidade gerenciada pelo Google para cargas de trabalho com agentes. Uma identidade de agente é atestada e vinculada ao ciclo de vida do agente, o que oferece uma maneira mais segura de gerenciar o acesso de agentes a Cloud de Confiance recursos do que usar contas de serviço.
Os controles de gerenciamento de acesso atuais pelo IAM oferecem suporte à identidade do agente para permitir uma governança forte.
Para saber mais sobre identidades de agente e como usá-las, consulte Usar a identidade do agente com o Agent Platform Agent Engine.
Configurar cargas de trabalho externas
Se você estiver executando cargas de trabalho fora do Cloud de Confiance, use os seguintes métodos para configurar identidades para suas cargas de trabalho:
- Federação de identidade da carga de trabalho
- Chaves da conta de serviço
Federação de identidade da carga de trabalho
É possível usar a federação de identidade da carga de trabalho com cargas de trabalho no Cloud de Confiance ou cargas de trabalho externas executadas em plataformas como AWS, Azure, GitHub e GitLab.
A federação de identidade da carga de trabalho permite usar credenciais de provedores de identidade externos como AWS, Azure e Active Directory para gerar credenciais de curta duração, que as cargas de trabalho podem usar para representar temporariamente as contas de serviço. As cargas de trabalho podem acessar Cloud de Confiance recursos usando a conta de serviço como identidade.
A federação de identidade da carga de trabalho é a maneira preferencial de configurar identidades para cargas de trabalho externas.
Para saber mais sobre a federação de identidade da carga de trabalho, consulte Federação de identidades da carga de trabalho.
Chaves da conta de serviço
Uma chave de conta de serviço permite autenticar uma carga de trabalho como uma conta de serviço e usar a identidade dessa conta para autorização.
Desenvolvimento local
Se você estiver desenvolvendo em um ambiente local, poderá configurar cargas de trabalho para usar as credenciais de usuário ou uma conta de serviço para autenticação e autorização. Para mais informações, consulte Ambiente de desenvolvimento local na documentação de autenticação.