Gestion des identités pour Google Cloud

Pour utiliser Google Cloud, les utilisateurs et les charges de travail ont besoin d'une identité que Google Cloud peut reconnaître.

Cette page décrit les méthodes que vous pouvez utiliser pour configurer les identités des utilisateurs et des charges de travail.

Identités des utilisateurs

Il existe plusieurs façons de configurer les identités des utilisateurs afin que Google Cloud puisse les reconnaître :

  • Créer des comptes Cloud Identity ou Google Workspace : les utilisateurs disposant de comptes Cloud Identity ou Google Workspace peuvent s'authentifier auprès de Google Cloud et être autorisés à utiliser les ressources Google Cloud. Les comptes Cloud Identity et Google Workspace sont des comptes utilisateur gérés par votre organisation.
  • Configurer l'une des stratégies d'identité fédérée suivantes :

    • Fédération à l'aide de Cloud Identity ou Google Workspace : synchronise les identités externes avec les comptes Cloud Identity ou Google Workspace correspondants afin que les utilisateurs puissent se connecter aux services Google avec leurs identifiants externes. Avec cette méthode, les utilisateurs ont besoin de deux comptes : un compte externe et un compte Cloud Identity ou Google Workspace. Vous pouvez maintenir ces comptes synchronisés à l'aide d'un outil tel que Google Cloud Directory Sync (GCDS).
    • Fédération d'identité de personnel: utilisez votre fournisseur d'identité (IdP) externe pour connecter vos utilisateurs à Google Cloud et leur permettre d'accéder aux ressources et produits Google Cloud. Avec la fédération des identités des employés, les utilisateurs n'ont besoin que d'un seul compte: leur compte externe. Ce type d'identité utilisateur est parfois appelé identité fédérée.

Pour en savoir plus sur ces méthodes de configuration des identités des utilisateurs, consultez la Présentation des identités des utilisateurs.

Identités des charges de travail

Google Cloud fournit les types de services d'identité suivants pour les charges de travail:

  • La fédération d'identité de charge de travail permet à vos charges de travail d'accéder à la plupart des services Google Cloud à l'aide d'une identité fournie par un IdP. Les charges de travail qui utilisent la fédération d'identité de charge de travail peuvent s'exécuter sur Google Cloud, Google Kubernetes Engine (GKE) ou d'autres plates-formes, telles qu'AWS, Azure et GitHub.

  • Les comptes de service Google Cloud peuvent servir d'identités pour les charges de travail. Au lieu d'accorder directement l'accès à une charge de travail, vous accordez l'accès à un compte de service, puis autorisez la charge de travail à utiliser le compte de service comme identité.

  • Les identités de charge de travail gérées (version preview) vous permettent d'associer des identités fortement certifiées à vos charges de travail Compute Engine. Vous pouvez utiliser des identités de charge de travail gérées pour authentifier vos charges de travail auprès d'autres charges de travail à l'aide du protocole d'authentification TLS mutuelle (mTLS), mais elles ne peuvent pas être utilisées pour s'authentifier auprès des API Google Cloud.

Les méthodes à utiliser dépendent de l'emplacement d'exécution de vos charges de travail.

Si vous exécutez des charges de travail sur Google Cloud, vous pouvez utiliser les méthodes suivantes pour configurer les identités de charge de travail :

  • Workload Identity Federation for GKE: accordez à IAM un accès aux clusters GKE et aux comptes de service Kubernetes. Les charges de travail des clusters peuvent ainsi accéder directement à la plupart des services Google Cloud, sans utiliser l'usurpation d'identité de compte de service IAM.

  • Comptes de service associés : associez un compte de service à une ressource afin que le compte de service agisse comme identité par défaut de la ressource. Toutes les charges de travail exécutées sur la ressource utilisent l'identité du compte de service pour accéder aux services Google Cloud.

  • Identifiants de compte de service éphémères : générez et utilisez des identifiants de compte de service éphémères à chaque fois que vos ressources doivent accéder aux services Google Cloud. Les types d'identifiants les plus courants sont les jetons d'accès OAuth 2.0 et les jetons d'identification OpenID Connect (OIDC).

Si vous exécutez des charges de travail en dehors de Google Cloud, vous pouvez utiliser les méthodes suivantes pour configurer les identités de charge de travail :

  • Fédération d'identité de charge de travail : utilisez des identifiants de fournisseurs d'identité externes pour générer des identifiants éphémères, qui permettent aux charges de travail d'emprunter temporairement l'identité des comptes de service. Les charges de travail peuvent ensuite accéder aux ressources Google Cloud en utilisant le compte de service comme identité.
  • Clés de compte de service : utilisez la partie privée de la paire de clés RSA publique/privée d'un compte de service pour vous authentifier en tant que compte de service.

Pour en savoir plus sur ces méthodes de configuration des identités de charge de travail, consultez la Présentation des identités de charge de travail.