Configure a federação de identidade da carga de trabalho com VMs da AWS ou do Azure

Este guia descreve como usar a federação de identidades da carga de trabalho para permitir que as cargas de trabalho de VMs do AWS e do Azure se autentiquem no Trusted Cloud by S3NS sem uma chave de conta de serviço.

Se usar o Amazon Elastic Kubernetes Service (Amazon EKS) ou o Azure Kubernetes Service (AKS), consulte o artigo Configure a federação de identidades da carga de trabalho com o Kubernetes para saber como configurar a federação de identidades da carga de trabalho para os seus clusters. Esta página aborda apenas a configuração da federação de identidade da carga de trabalho para VMs do AWS e Azure.

Ao usar a Workload Identity Federation, as cargas de trabalho executadas no AWS EC2 e nas VMs do Azure podem trocar as respetivas credenciais específicas do ambiente por tokens doTrusted Cloud Security Token Service de curta duração.

As credenciais específicas do ambiente incluem o seguinte:

• As instâncias do AWS EC2 podem usar perfis de instâncias para pedir credenciais temporárias.
• As VMs do Azure podem usar identidades geridas para obter tokens de acesso do Azure.

Ao configurar a Workload Identity Federation, pode permitir que estas cargas de trabalho troquem estas credenciais específicas do ambiente por credenciaisTrusted Cloud de curta duração. As cargas de trabalho podem usar estas credenciais de curta duração para aceder às APIs Trusted Cloud .

Antes de começar

• Configurar autenticação.

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

  gcloud

  Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:

  gcloud init

  Python

  Para usar os Python exemplos nesta página num ambiente de desenvolvimento local, instale e inicialize a CLI gcloud e, em seguida, configure as Credenciais predefinidas da aplicação com as suas credenciais de utilizador.

  Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada.

  Create local authentication credentials for your user account:

  gcloud auth application-default login

  If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

  Para mais informações, consulte Configurar o ADC para um ambiente de desenvolvimento local na Trusted Cloud documentação de autenticação.

Prepare o seu Fornecedor de identidade externo

Só tem de realizar estes passos uma vez para cada inquilino do Microsoft Entra ID ou conta da AWS.

Configure a Workload Identity Federation

Só tem de realizar estes passos uma vez por conta da AWS ou inquilino do Microsoft Entra ID. Em seguida, pode usar o mesmo Workload Identity Pool e fornecedor para várias cargas de trabalho e em vários Trusted Cloud projetos.

Para começar a configurar a Workload Identity Federation, faça o seguinte:

1. In the Trusted Cloud console, go to the project selector page.

   Go to project selector

2. Select or create a Trusted Cloud project.

É recomendável usar um projeto dedicado para gerir os fornecedores e os conjuntos de identidades de carga de trabalho.

Verify that billing is enabled for your Trusted Cloud project.

Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.

Enable the APIs

Defina um mapeamento de atributos e uma condição

As credenciais específicas do ambiente da sua carga de trabalho da AWS ou do Azure contêm vários atributos e tem de decidir que atributo quer usar como identificador do assunto (google.subject) em Trusted Cloud.

Trusted Cloud usa o identificador do assunto nos registos de auditoria do Cloud e nos identificadores principais para identificar de forma exclusiva um utilizador ou uma função do AWS ou Azure.

Opcionalmente, pode mapear atributos adicionais. Em seguida, pode consultar estes atributos adicionais quando conceder acesso a recursos.

google.subject=assertion.arn
attribute.account=assertion.account
attribute.aws_role=assertion.arn.extract('assumed-role/{role}/')
attribute.aws_ec2_instance=assertion.arn.extract('assumed-role/{role_and_session}').extract('/{session}')

google.subject=assertion.sub

google.subject=assertion.sub.extract('/eid1/c/pub/t/{sub_claim}')

Opcionalmente, defina uma condição de atributo. As condições de atributos são expressões de IEC que podem verificar atributos de afirmação e atributos de destino. Se a condição do atributo for avaliada como true para uma determinada credencial, a credencial é aceite. Caso contrário, a credencial é rejeitada.

assertion.arn.startsWith('arn:aws:sts::AWS_ACCOUNT_ID:assumed-role/')

Crie o Workload Identity Pool e o fornecedor

Agora, recolheu todas as informações necessárias para criar um Workload Identity Pool e um fornecedor:

Autentique uma carga de trabalho

Tem de realizar estes passos uma vez por carga de trabalho.

Permita que a sua carga de trabalho externa aceda aos recursos do Trusted Cloud

Para dar acesso aos recursos à sua carga de trabalho, recomendamos que conceda acesso direto aos recursos ao principal. Trusted Cloud Neste caso, o principal é o utilizador federado. Alguns Trusted Cloud produtos têm limitações da API Google Cloud. Se a sua carga de trabalho chamar um ponto final da API que tenha uma limitação, pode, em alternativa, usar a representação de contas de serviço. Neste caso, o principal é a Trusted Cloud conta de serviço, que funciona como a identidade. Concede acesso à conta de serviço no recurso.

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

Transfira ou crie uma configuração de credenciais

As bibliotecas cliente do Google Cloud, a CLI gcloud e o Terraform podem obter automaticamente credenciais externas e usar estas credenciais para se fazerem passar por uma conta de serviço. Para permitir que as bibliotecas e as ferramentas concluam este processo, tem de fornecer um ficheiro de configuração de credenciais. Este ficheiro define o seguinte:

• Onde obter credenciais externas
• Que Workload Identity Pool e fornecedor usar
• Que conta de serviço usar como identidade

Para criar um ficheiro de configuração de credenciais, faça o seguinte:

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --aws \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --aws \
    --enable-imdsv2 \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --azure \
    --app-id-uri APPLICATION_ID_URI \
    --output-file=FILEPATH.json

Use a configuração de credenciais para aceder a Trusted Cloud

Para permitir que as ferramentas e as bibliotecas de cliente usem a sua configuração de credenciais, faça o seguinte no seu ambiente AWS ou Azure:

1. Inicialize uma variável de ambiente GOOGLE_APPLICATION_CREDENTIALS e direcione-a para o ficheiro de configuração das credenciais:

   Bash

     export GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
     

   onde FILEPATH é o caminho relativo para o ficheiro de configuração das credenciais.

   PowerShell

     $env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
     

   onde FILEPATH é o caminho relativo para o ficheiro de configuração das credenciais.

2. Use uma biblioteca ou uma ferramenta de cliente que suporte a federação de identidades da carga de trabalho e que possa encontrar credenciais automaticamente:

   C++

   As Trusted Cloud bibliotecas cliente para C++ suportam a federação de identidades da carga de trabalho desde a versão v2.6.0. Para usar a Workload Identity Federation, tem de criar as bibliotecas de cliente com a versão 1.36.0 ou posterior do gRPC.

   Ir

   As bibliotecas cliente para Go suportam a federação de identidades da carga de trabalho se usarem a versão v0.0.0-20210218202405-ba52d332ba99 ou posterior do módulo golang.org/x/oauth2.

   Para verificar que versão deste módulo a sua biblioteca de cliente usa, execute os seguintes comandos:

   cd $GOPATH/src/cloud.google.com/go
   go list -m golang.org/x/oauth2
   

   Java

   As bibliotecas cliente para Java suportam a Workload Identity Federation se usarem a versão 0.24.0 ou posterior do artefacto com.google.auth:google-auth-library-oauth2-http.

   Para verificar que versão deste artefacto a sua biblioteca de cliente usa, execute o seguinte comando Maven no diretório da aplicação:

   mvn dependency:list -DincludeArtifactIds=google-auth-library-oauth2-http
   

   Node.js

   As bibliotecas de cliente para Node.js suportam a Federação de identidades da carga de trabalho se usarem a versão 7.0.2 ou posterior do pacote google-auth-library.

   Para verificar que versão deste pacote a sua biblioteca de cliente usa, execute o seguinte comando no diretório da aplicação:

   npm list google-auth-library
   

   Quando cria um objeto GoogleAuth, pode especificar um ID do projeto ou permitir que a GoogleAuth encontre o ID do projeto automaticamente. Para encontrar o ID do projeto automaticamente, a conta de serviço no ficheiro de configuração tem de ter a função Navegador (roles/browser) ou uma função com autorizações equivalentes no seu projeto. Para obter detalhes, consulte o README para o pacote google-auth-library.

   Python

   As bibliotecas cliente para Python suportam a Federação de identidades de carga de trabalho se usarem a versão 1.27.0 ou posterior do pacote google-auth.

   Para verificar que versão deste pacote a sua biblioteca de cliente usa, execute o seguinte comando no ambiente onde o pacote está instalado:

   pip show google-auth
   

   Para especificar um ID do projeto para o cliente de autenticação, pode definir a variável de ambiente GOOGLE_CLOUD_PROJECT ou permitir que o cliente encontre o ID do projeto automaticamente. Para encontrar o ID do projeto automaticamente, a conta de serviço no ficheiro de configuração tem de ter a função de navegador (roles/browser) ou uma função com autorizações equivalentes no seu projeto. Para obter detalhes, consulte o manual do utilizador do pacote google-auth.

   gcloud

   Para autenticar com a Workload Identity Federation, use o comando gcloud auth login:

   gcloud auth login --cred-file=FILEPATH.json
   

   Substitua FILEPATH pelo caminho para o ficheiro de configuração das credenciais.

   O suporte para a Workload Identity Federation na CLI gcloud está disponível na versão 363.0.0 e versões posteriores da CLI gcloud.

   Terraform

   O Trusted Cloud fornecedor suporta a Workload Identity Federation se usar a versão 3.61.0 ou posterior:

   terraform {
     required_providers {
       google = {
         source  = "hashicorp/google"
         version = "~> 3.61.0"
       }
     }
   }
   

   bq

   Para autenticar através da Workload Identity Federation, use o comando gcloud auth login, da seguinte forma:

   gcloud auth login --cred-file=FILEPATH.json
   

   Substitua FILEPATH pelo caminho para o ficheiro de configuração das credenciais.

   O suporte para a Workload Identity Federation no bq está disponível na versão 390.0.0 e versões posteriores da CLI gcloud.

   Se não conseguir usar uma biblioteca cliente que suporte a Workload Identity Federation, pode autenticar programaticamente através da API REST.

Cenários avançados

Autentique uma carga de trabalho através da API REST

Se não conseguir usar as bibliotecas cliente, pode seguir estes passos para permitir que uma carga de trabalho externa obtenha um token de acesso de curta duração através da API REST:

1. Obtenha credenciais do seu IdP externo:

   AWS

   Crie um documento JSON que contenha as informações que normalmente incluiria num pedido ao ponto final da AWS GetCallerIdentity(), incluindo uma assinatura de pedido válida.

   A federação de identidades da carga de trabalho refere-se a este documento JSON como um token.GetCallerIdentity O token permite que a Workload Identity Federation valide a identidade sem revelar a chave de acesso secreta da AWS.

   Um token GetCallerIdentity tem um aspeto semelhante ao seguinte:

   {
     "url": "https://sts.amazonaws.com?Action=GetCallerIdentity&Version=2011-06-15",
     "method": "POST",
     "headers": [
       {
         "key": "Authorization",
         "value" : "AWS4-HMAC-SHA256 Credential=AKIASOZTBDV4D7ABCDEDF/20200228/us-east-1/sts/aws4_request, SignedHeaders=host;x-amz-date,Signature=abcedefdfedfd"
       },
       {
         "key": "host",
         "value": "sts.amazonaws.com"
       },
       {
         "key": "x-amz-date",
         "value": "20200228T225005Z"
       },
       {
         "key": "x-goog-cloud-target-resource",
         "value": "//iam.googleapis.com/projects/12345678/locations/global/workloadIdentityPools/my-pool/providers/my-aws-provider"
       },
       {
         "key": "x-amz-security-token",
         "value": "GizFWJTqYX...xJ55YoJ8E9HNU="
       }
     ]
   }
   

   O token contém os seguintes campos:

   • url: o URL do ponto final do AWS STS para GetCallerIdentity(), com o corpo de um pedido GetCallerIdentity() padrão anexado como parâmetros de consulta. Por exemplo, https://sts.amazonaws.com?Action=GetCallerIdentity&Version=2011-06-15. Recomendamos que use pontos finais do STS regionais e conceba uma infraestrutura fiável para as suas cargas de trabalho. Para mais informações, consulte o artigo Pontos finais regionais do AWS STS.
   • method: O método de pedido HTTP: POST.
   • headers: Os cabeçalhos do pedido HTTP, que têm de incluir:
     • Authorization: a assinatura solicitada.
     • host: o nome de anfitrião do campo url; por exemplo, sts.amazonaws.com.
     • x-amz-date: a hora em que envia o pedido, formatada como uma string ISO 8601 Basic. Normalmente, este valor é definido como a hora atual e é usado para ajudar a evitar ataques de repetição.
     • x-goog-cloud-target-resource: o nome completo do recurso do fornecedor de identidade sem um prefixo https:. Por exemplo:

       //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
       

     • x-amz-security-token: token da sessão. Só é necessário se estiver a usar credenciais de segurança temporárias.

   O exemplo seguinte cria um símbolo GetCallerIdentity codificado em URL. Extraia o token codificado por URL para utilização posterior. Também cria um token legível por humanos apenas para sua referência:

   import json
   import urllib
   
   import boto3
   from botocore.auth import SigV4Auth
   from botocore.awsrequest import AWSRequest
   
   
   def create_token_aws(project_number: str, pool_id: str, provider_id: str) -> None:
       # Prepare a GetCallerIdentity request.
       request = AWSRequest(
           method="POST",
           url="https://sts.amazonaws.com/?Action=GetCallerIdentity&Version=2011-06-15",
           headers={
               "Host": "sts.amazonaws.com",
               "x-goog-cloud-target-resource": f"//iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/providers/{provider_id}",
           },
       )
   
       # Set the session credentials and Sign the request.
       # get_credentials loads the required credentials as environment variables.
       # Refer:
       # https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html
       SigV4Auth(boto3.Session().get_credentials(), "sts", "us-east-1").add_auth(request)
   
       # Create token from signed request.
       token = {"url": request.url, "method": request.method, "headers": []}
       for key, value in request.headers.items():
           token["headers"].append({"key": key, "value": value})
   
       # The token lets workload identity federation verify the identity without revealing the AWS secret access key.
       print("Token:\n%s" % json.dumps(token, indent=2, sort_keys=True))
       print("URL encoded token:\n%s" % urllib.parse.quote(json.dumps(token)))
   
   
   def main() -> None:
       # TODO(Developer): Replace the below credentials.
       # project_number: Google Project number (not the project id)
       project_number = "my-project-number"
       pool_id = "my-pool-id"
       provider_id = "my-provider-id"
   
       create_token_aws(project_number, pool_id, provider_id)
   
   
   if __name__ == "__main__":
       main()

   Inicialize as seguintes variáveis:

   Bash

   SUBJECT_TOKEN_TYPE="urn:ietf:params:aws:token-type:aws4_request"
   SUBJECT_TOKEN=TOKEN
   

   PowerShell

   $SubjectTokenType = "urn:ietf:params:aws:token-type:aws4_request"
   $SubjectToken = "TOKEN"
   

   Onde TOKEN é o token codificado por URL GetCallerIdentity que foi gerado pelo script.

   Azul-celeste

   Ligue-se a uma VM do Azure que tenha uma identidade gerida atribuída e obtenha um token de acesso do serviço de metadados de instâncias (IMDS) do Azure:

   Bash

   SUBJECT_TOKEN_TYPE="urn:ietf:params:oauth:token-type:jwt"
   SUBJECT_TOKEN=$(curl \
     "http://169.254.169.254/metadata/identity/oauth2/token?resource=APP_ID_URI&api-version=2018-02-01" \
     -H "Metadata: true" | jq -r .access_token)
   echo $SUBJECT_TOKEN
   

   Este comando usa a ferramenta jq. jq está disponível por predefinição no Cloud Shell.

   PowerShell

   $SubjectTokenType = "urn:ietf:params:oauth:token-type:jwt"
   $SubjectToken = (Invoke-RestMethod `
     -Uri "http://169.254.169.254/metadata/identity/oauth2/token?resource=APP_ID_URI&api-version=2018-02-01" `
     -Headers @{Metadata="true"}).access_token
   Write-Host $SubjectToken
   

   Em que APP_ID_URI é o URI do ID da aplicação da aplicação que configurou para a federação de identidade da força de trabalho.

2. Use a API Security Token Service para trocar a credencial por um token de acesso de curta duração:

   Bash

   STS_TOKEN=$(curl https://sts.googleapis.com/v1/token \
       --data-urlencode "audience=//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID" \
       --data-urlencode "grant_type=urn:ietf:params:oauth:grant-type:token-exchange" \
       --data-urlencode "requested_token_type=urn:ietf:params:oauth:token-type:access_token" \
       --data-urlencode "scope=https://www.googleapis.com/auth/cloud-platform" \
       --data-urlencode "subject_token_type=$SUBJECT_TOKEN_TYPE" \
       --data-urlencode "subject_token=$SUBJECT_TOKEN" | jq -r .access_token)
   echo $STS_TOKEN
   

   PowerShell

   [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12
   $StsToken = (Invoke-RestMethod `
       -Method POST `
       -Uri "https://sts.googleapis.com/v1/token" `
       -ContentType "application/json" `
       -Body (@{
           "audience"           = "//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID"
           "grantType"          = "urn:ietf:params:oauth:grant-type:token-exchange"
           "requestedTokenType" = "urn:ietf:params:oauth:token-type:access_token"
           "scope"              = "https://www.googleapis.com/auth/cloud-platform"
           "subjectTokenType"   = $SubjectTokenType
           "subjectToken"       = $SubjectToken
       } | ConvertTo-Json)).access_token
   Write-Host $StsToken
   

   Substitua os seguintes valores:

   • PROJECT_NUMBER: número do projeto que contém o Workload Identity Pool
   • POOL_ID: ID do Workload Identity Pool
   • PROVIDER_ID: ID do fornecedor do Workload Identity Pool

3. Se usar a representação da conta de serviço, use o token do Security Token Service para invocar o método generateAccessToken da API IAM Service Account Credentials para obter uma chave de acesso.

Tokens para serviços do Cloud Run

Quando acede a um serviço do Cloud Run, tem de usar um token de ID.

TOKEN=$(curl -0 -X POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateIdToken \
    -H "Content-Type: text/json; charset=utf-8" \
    -H "Authorization: Bearer $STS_TOKEN" \
    -d @- <<EOF | jq -r .token
    {
        "audience": "SERVICE_URL"
    }
EOF
)
echo $TOKEN

$Token = (Invoke-RestMethod `
    -Method POST `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateIdToken" `
    -Headers @{ "Authorization" = "Bearer $StsToken" } `
    -ContentType "application/json" `
    -Body (@{
        "audience" = "SERVICE_URL"
    } | ConvertTo-Json)).token
Write-Host $Token

Substitua o seguinte:

• SERVICE_ACCOUNT_EMAIL: o endereço de email da conta de serviço.
• SERVICE_URL: o URL do serviço, por exemplo, https://my-service-12345-us-central1.run.app. Também pode defini-lo para o seu ponto final de serviço personalizado. Para mais informações, consulte o artigo Compreender os públicos-alvo personalizados.

Tokens para outras plataformas

Quando acede a outro serviço, tem de usar uma chave de acesso.

TOKEN=$(curl -0 -X POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateAccessToken \
    -H "Content-Type: text/json; charset=utf-8" \
    -H "Authorization: Bearer $STS_TOKEN" \
    -d @- <<EOF | jq -r .accessToken
    {
        "scope": [ "https://www.googleapis.com/auth/cloud-platform" ]
    }
EOF
)
echo $TOKEN

$Token = (Invoke-RestMethod `
    -Method POST `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateAccessToken" `
    -Headers @{ "Authorization" = "Bearer $StsToken" } `
    -ContentType "application/json" `
    -Body (@{
        "scope" = , "https://www.googleapis.com/auth/cloud-platform"
    } | ConvertTo-Json)).accessToken
Write-Host $Token

Substitua o seguinte:

• SERVICE_ACCOUNT_EMAIL: o endereço de email da conta de serviço.

O que se segue?

• Leia mais sobre a federação de identidades da carga de trabalho.
• Saiba mais acerca das práticas recomendadas para usar a Workload Identity Federation.
• Veja como pode gerir Workload Identity Pools e fornecedores.