Google Cloud hat die Workload Identity Federation für GKE aktualisiert, um die Sicherung von Kubernetes-Workloads zu vereinfachen. Zuvor mussten Workloads ein Google Cloud-Dienstkonto mit ihrem Kubernetes-Dienstkonto (KSA) imitieren, um Pod-Zugriff auf Google Cloud-Dienste zu ermöglichen. Obwohl dies die Sicherheit verbesserte, war die Einrichtung schwierig. Mit diesem Update können Google Cloud IAM-Richtlinien jetzt direkt auf GKE-Workloads und Kubernetes-Dienstkonten verweisen, wodurch die Einrichtung erheblich vereinfacht wird. Darüber hinaus ermöglicht das Update eine tiefere Integration in die Google Cloud IAM-Plattform und bietet Kubernetes-Identitäten erstklassige Prinzipal- und PrinzipalSet-Darstellungen innerhalb von Google Cloud IAM. Dies bedeutet, dass Sie jetzt Empfehlungen zu geringsten Berechtigungen für Ihre Kubernetes-Workloads direkt im IAM-Recommender sehen und diese Empfehlungen direkt auf den Kubernetes-Prinzipal anwenden können. Darüber hinaus unterstützt die neue Konfiguration die PrincipalSet-Notation, die eine attributbasierte Auswahl mehrerer Identitäten ermöglicht, genau wie jeder andere Workload Identity Federation-Prinzipal. Daher können Sie jetzt in einer einzigen IAM-Richtlinie auf mehrere GKE-Workloads verweisen. Sie können beispielsweise auf alle Workloads oder Pods verweisen, die zu einem Kubernetes-Namespace gehören, oder auf alle Workloads oder Pods, die zu einem Kubernetes-Cluster gehören. Es gibt jedoch einige Einschränkungen, die Sie beachten sollten. Wenn eine davon zutrifft, müssen Sie weiterhin die vorherige Methode zum Imitieren von Dienstkonten verwenden, um die Authentifizierung durchzuführen. Beispielsweise unterstützen einige Google Cloud-Dienste Workload- und Workforce Identity Federation-Prinzipale noch nicht. Ebenso unterstützen VPC Service Controls-Ingress- und -Egress-Regeln keine Workload Identity Federation-Prinzipale und -PrinzipalSets. Schließlich unterstützt die spezifische Berechtigung zum Aufrufen einer Cloud Run-Instanz keine Workload Identity Federation-Prinzipale und -PrinzipalSets.