Per utilizzare Google Cloud, gli utenti e i carichi di lavoro devono avere un'identità che Google Cloud sia in grado di riconoscere.
Questa pagina descrive i metodi che puoi utilizzare per configurare le identità per utenti e carichi di lavoro.
Identità degli utenti
Esistono diversi modi per configurare le identità utente in modo che Google Cloud possa riconoscerle:
- Crea account Cloud Identity o Google Workspace: gli utenti con account Cloud Identity o Google Workspace possono eseguire l'autenticazione in Google Cloud ed essere autorizzati a utilizzare le risorse Google Cloud. Gli account Cloud Identity e Google Workspace sono account utente gestiti dalla tua organizzazione.
- Configura una delle seguenti strategie di identità federata:
- Federazione tramite Cloud Identity o Google Workspace: sincronizza le identità esterne con gli account Cloud Identity o Google Workspace corrispondenti in modo che gli utenti possano accedere ai servizi Google con le proprie credenziali esterne. Con questo metodo, gli utenti devono avere due account: un account esterno e un account Cloud Identity o Google Workspace. Puoi mantenere questi account sincronizzati utilizzando uno strumento come Google Cloud Directory Sync (GCDS).
- Federazione delle identità per la forza lavoro: utilizza un provider di identità (IdP) esterno per autenticare e autorizzare gli utenti, consentendo loro di accedere a Google Cloud e a risorse e prodotti Google con le loro credenziali esterne. Con la federazione delle identità per la forza lavoro, gli utenti hanno bisogno di un solo account: l'account esterno.
Per saperne di più su questi metodi per configurare le identità utente, consulta Panoramica delle identità utente.
Identità dei carichi di lavoro
Google Cloud fornisce account di servizio che fungono da identità per i carichi di lavoro. Anziché concedere direttamente l'accesso a un carico di lavoro, concedi l'accesso a un account di servizio e quindi consenti al carico di lavoro di utilizzare l'account di servizio come identità.
Esistono diversi modi per consentire a un carico di lavoro di utilizzare un account di servizio come identità. Il metodo da utilizzare dipende da dove sono in esecuzione i carichi di lavoro.
Se esegui carichi di lavoro su Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità dei carichi di lavoro:
- Account di servizio collegati: collega un account di servizio a una risorsa in modo che l'account di servizio agisca da identità predefinita della risorsa. Tutti i carichi di lavoro in esecuzione sulla risorsa utilizzano l'identità dell'account di servizio quando accedono ai servizi Google Cloud.
- Credenziali dell'account di servizio di breve durata: genera e utilizza le credenziali degli account di servizio di breve durata ogni volta che le tue risorse devono accedere ai servizi Google Cloud. I tipi di credenziali più comuni sono i token di accesso OAuth 2.0 e i token ID OpenID Connect (OIDC).
- Google Kubernetes Engine Workload Identity: consenti al tuo account di servizio GKE di agire come account di servizio IAM quando accedi alle risorse Google Cloud. Questo tipo di identità si applica solo ai carichi di lavoro di Google Kubernetes Engine.
Se esegui carichi di lavoro all'esterno di Google Cloud, puoi utilizzare i seguenti metodi per configurare le identità dei carichi di lavoro:
- Federazione delle identità per i carichi di lavoro: utilizza le credenziali di provider di identità esterni per generare credenziali di breve durata che i carichi di lavoro possono utilizzare per impersonare temporaneamente gli account di servizio. I carichi di lavoro possono quindi accedere alle risorse Google Cloud utilizzando l'account di servizio come identità.
Chiavi dell'account di servizio: utilizza la parte privata della coppia di chiave RSA pubblica/privata di un account di servizio per autenticarti come account di servizio.
Per saperne di più su questi metodi per la configurazione delle identità dei carichi di lavoro, consulta Panoramica delle identità dei carichi di lavoro.