第 2 章 使用 Workload Identity Federation 身份验证在 GCP 上创建集群
2.1. 工作负载身份联邦概述
Workload Identity Federation (WIF)是一个 Google Cloud Platform (GCP) Identity and Access Management (IAM)功能,它为第三方提供了一种访问客户云帐户上的资源的安全方法。WIF 消除了服务帐户密钥的需求,是 Google Cloud 的首选方法。
虽然服务帐户密钥可以提供对 Google Cloud 资源的强大的访问,但它们必须由最终用户维护,但如果它们没有正确管理,则可能会造成安全风险。WIF 不使用服务密钥作为 Google 云资源的访问方法。相反,WIF 通过使用来自外部身份提供程序的凭据来为工作负载生成简短凭证来授予访问权限。然后,工作负载可以使用这些凭证来临时模拟服务帐户并访问 Google Cloud 资源。这消除了正确维护服务帐户密钥的负担,并消除未授权用户访问服务帐户密钥的风险。
以下项目提供了 Workload Identity Federation 进程的基本概述:
- Google Cloud Platform (GCP)项目的所有者使用身份提供程序配置工作负载身份池,允许 OpenShift Dedicated 使用简短凭证访问项目关联的服务帐户。
- 此工作负载身份池配置为使用用户定义的身份提供程序(IP)验证请求。
- 要使应用程序可以访问云资源,他们首先将凭证传递给 Google 的安全令牌服务(STS)。STS 使用指定的身份提供程序来验证凭证。
- 验证凭证后,STS 会将临时访问令牌返回到调用者,使应用程序能够模拟绑定到该身份的服务帐户。
Operator 还需要访问云资源。通过使用 WIF 而不是服务帐户密钥授予这个访问权限,集群安全性会进一步增强,因为服务帐户密钥不再存储在集群中。相反,Operator 会被授予临时访问令牌来模拟服务帐户。这些令牌在短时间内有效并定期轮转。
有关 Workload Identity Federation 的更多信息,请参阅 Google Cloud Platform 文档。
工作负载 Identity Federation (WIF)仅适用于 OpenShift Dedicated 版本 4.17 及更新的版本,且仅支持客户云订阅(CCS)基础架构类型。
