Untuk menggunakan Google Cloud, pengguna dan beban kerja memerlukan identitas yang dapat dikenali Google Cloud.
Halaman ini menguraikan metode yang dapat Anda gunakan untuk mengonfigurasi identitas bagi pengguna dan beban kerja.
Indentitas Pengguna
Ada beberapa cara untuk mengonfigurasi identitas pengguna agar Google Cloud dapat mengenalinya:
- Membuat akun Cloud Identity atau Google Workspace: Pengguna dengan akun Cloud Identity atau Google Workspace dapat melakukan autentikasi ke Google Cloud dan diizinkan untuk menggunakan resource Google Cloud. Akun Cloud Identity dan Google Workspace adalah akun pengguna yang dikelola oleh organisasi Anda.
- Siapkan salah satu strategi identitas gabungan berikut:
- Federasi menggunakan Cloud Identity atau Google Workspace: Menyinkronkan identitas eksternal dengan akun Cloud Identity atau Google Workspace yang sesuai sehingga pengguna dapat login ke layanan Google dengan kredensial eksternal mereka. Dengan metode ini, pengguna memerlukan dua akun: akun eksternal, dan akun Cloud Identity atau Google Workspace. Anda dapat terus menyinkronkan akun ini menggunakan alat seperti Google Cloud Directory Sync (GCDS).
- Federasi identitas tenaga kerja: Menggunakan penyedia identitas (IdP) eksternal untuk mengautentikasi dan memberi otorisasi kepada pengguna, sehingga pengguna dapat login ke Google Cloud serta mengakses resource dan produk Google dengan kredensial eksternal mereka. Dengan penggabungan identitas tenaga kerja, pengguna hanya memerlukan satu akun: akun eksternal.
Untuk mempelajari lebih lanjut metode ini untuk menyiapkan identitas pengguna, lihat Ringkasan identitas pengguna.
Identitas beban kerja
Google Cloud menyediakan akun layanan untuk bertindak sebagai identitas untuk beban kerja. Alih-alih memberikan akses ke beban kerja secara langsung, Anda memberikan akses ke akun layanan, lalu membiarkan beban kerja menggunakan akun layanan sebagai identitasnya.
Ada beberapa cara agar beban kerja dapat menggunakan akun layanan sebagai identitasnya. Metode yang dapat Anda gunakan bergantung pada tempat beban kerja Anda dijalankan.
Jika menjalankan beban kerja di Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:
- Akun layanan terpasang: Menambahkan akun layanan ke resource sehingga akun layanan bertindak sebagai identitas default resource. Setiap beban kerja yang dijalankan pada resource menggunakan identitas akun layanan saat mengakses layanan Google Cloud.
- Kredensial akun layanan berjangka pendek: Buat dan gunakan kredensial akun layanan berjangka pendek setiap kali resource Anda perlu mengakses layanan Google Cloud. Jenis kredensial yang paling umum adalah token akses OAuth 2.0 dan token ID OpenID Connect (OIDC).
- Workload Identity Google Kubernetes Engine: Mengizinkan akun layanan GKE Anda untuk bertindak sebagai akun layanan IAM saat mengakses resource Google Cloud. Jenis identitas ini hanya berlaku untuk beban kerja Google Kubernetes Engine.
Jika menjalankan beban kerja di luar Google Cloud, Anda dapat menggunakan metode berikut untuk mengonfigurasi identitas beban kerja:
- Federasi identitas beban kerja: Gunakan kredensial dari penyedia identitas eksternal untuk menghasilkan kredensial berumur pendek, yang dapat digunakan beban kerja untuk meniru akun layanan sementara. Selanjutnya, beban kerja dapat mengakses resource Google Cloud, menggunakan akun layanan sebagai identitas mereka.
Kunci akun layanan: Menggunakan bagian pribadi dari pasangan kunci RSA publik/pribadi akun layanan untuk mengautentikasi sebagai akun layanan.
Untuk mempelajari lebih lanjut metode penyiapan identitas beban kerja, lihat Ringkasan identitas beban kerja.