Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 2. Création d’un cluster sur GCP avec authentification de la Fédération des identités de travail

Loadload Identity Federation (WIF) est une fonctionnalité de gestion des identités et des accès (IAM) de Google Cloud Platform (GCP) qui fournit à des tiers une méthode sécurisée pour accéder aux ressources sur le compte cloud d’un client. Le WIF élimine le besoin de clés de compte de service et est la méthode d’authentification d’identification préférée de Google Cloud.

Bien que les clés de compte de service puissent fournir un accès puissant à vos ressources Google Cloud, elles doivent être maintenues par l’utilisateur final et peuvent constituer un risque de sécurité s’ils ne sont pas gérés correctement. Le WIF n’utilise pas les clés de service comme méthode d’accès pour vos ressources Google Cloud. Au lieu de cela, WIF accorde l’accès en utilisant des informations d’identification provenant de fournisseurs d’identité externes pour générer des informations d’identification de courte durée pour les charges de travail. Les charges de travail peuvent ensuite utiliser ces informations d’identification pour usurper temporairement les comptes de service et accéder aux ressources Google Cloud. Cela élimine le fardeau d’avoir à maintenir correctement les clés de compte de service et élimine le risque que les utilisateurs non autorisés aient accès aux clés de compte de service.

Les éléments suivants fournissent un aperçu de base du processus de la Fédération de l’identité de la charge de travail:

  • Le propriétaire du projet Google Cloud Platform (GCP) configure un pool d’identités de charge de travail avec un fournisseur d’identité, permettant à OpenShift Dedicated d’accéder aux comptes de services associés du projet en utilisant des informations d’identification de courte durée.
  • Ce pool d’identités de charge de travail est configuré pour authentifier les demandes à l’aide d’un fournisseur d’identité (IP) que l’utilisateur définit.
  • Afin que les applications aient accès aux ressources cloud, elles transmettent d’abord des informations d’identification au service de jetons de sécurité (STS) de Google. Le STS utilise le fournisseur d’identité spécifié pour vérifier les informations d’identification.
  • Lorsque les informations d’identification sont vérifiées, STS retourne un jeton d’accès temporaire à l’appelant, donnant à l’application la possibilité d’imiter le compte de service lié à cette identité.

Les opérateurs ont également besoin d’accéder aux ressources cloud. En utilisant WIF au lieu des clés de compte de service pour accorder cet accès, la sécurité des clusters est encore renforcée, car les clés de compte de service ne sont plus stockées dans le cluster. Au lieu de cela, les opérateurs reçoivent des jetons d’accès temporaires qui se font passer pour les comptes de service. Ces jetons sont de courte durée et régulièrement tournés.

Consultez la documentation Google Cloud Platform pour plus d’informations sur Workload Identity Federation.

Important

La Fédération de l’identité de la charge de travail (WIF) n’est disponible que sur OpenShift Dedicated version 4.17 et ultérieure, et n’est prise en charge que par le type d’infrastructure d’abonnement au cloud client (CCS).

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat