Google Cloud обновил Workload Identity Federation для GKE, упростив для пользователей защиту своих рабочих нагрузок Kubernetes. Раньше рабочим нагрузкам требовалось выдавать себя за служебную учетную запись Google Cloud со своей служебной учетной записью Kubernetes (KSA). Хотя это повышало безопасность, настроить это было сложно. С этим обновлением политики IAM Google Cloud теперь могут напрямую ссылаться на рабочие нагрузки GKE и служебные учетные записи Kubernetes, что значительно упрощает настройку. Кроме того, обновление обеспечивает более глубокую интеграцию с платформой IAM Google Cloud, предоставляя удостоверениям Kubernetes представления principal и principalSet первого класса в Google Cloud IAM. Это означает, что теперь вы можете видеть рекомендации по наименьшим привилегиям для своих рабочих нагрузок Kubernetes и применять эти рекомендации непосредственно к субъекту Kubernetes в IAM Recommender. Более того, новая конфигурация поддерживает нотацию principalSet, которая позволяет выбирать несколько удостоверений на основе атрибутов. В результате теперь вы можете ссылаться на несколько рабочих нагрузок GKE в одной политике IAM. Например, вы можете ссылаться на все рабочие нагрузки или модули, принадлежащие пространству имен Kubernetes, или на все рабочие нагрузки или модули, принадлежащие кластеру Kubernetes. Однако есть несколько ограничений, о которых следует помнить. Если какое-либо из них применимо, вам потребуется продолжить использовать предыдущий метод олицетворения служебной учетной записи для выполнения аутентификации. Например, небольшое количество служб Google Cloud пока не поддерживает субъекты Workload and Workforce Identity Federation. Аналогично, правила входа и выхода VPC Service Controls не поддерживают субъект и principalSets Workload Identity Federation. Наконец, специальное разрешение на вызов экземпляра Cloud Run не поддерживает субъект и principalSets Workload Identity Federation.