第 3 章 使用服务帐户身份验证在 GCP 上创建集群
3.1. 服务帐户身份验证概述
Service Account 身份验证类型使用私钥进行身份验证。服务帐户使用 RSA 密钥对,它由公钥和私钥组成,私钥是服务帐户密钥。密钥对的公钥部分存储在 Google Cloud 上,而私钥则由用户保存。私钥允许用户以服务帐户进行身份验证,并可以访问与该服务帐户关联的资产和资源。
如果未仔细管理,则服务帐户密钥存在安全风险。用户应定期轮转其服务帐户密钥,以减少泄漏或盗窃密钥的风险。
重要
由于使用 Service Account 身份验证类型时潜在的安全风险,红帽建议使用 GCP Workload Identity Federation (WIF)作为安装和在 Google Cloud Platform (GCP)上部署的 OpenShift Dedicated 集群的身份验证类型,因为它提供了增强的安全性。如需更多信息,请参阅附加资源部分中的 使用 Workload Identity Federation 身份验证在 GCP 上创建集群。
