Google Cloud a mis à jour Workload Identity Federation pour GKE, simplifiant ainsi la sécurisation des charges de travail Kubernetes pour les utilisateurs. Auparavant, les charges de travail devaient emprunter l'identité d'un compte de service Google Cloud avec leur compte de service Kubernetes (KSA). Bien que cela ait amélioré la sécurité, la configuration était difficile. Avec cette mise à jour, les stratégies IAM de Google Cloud peuvent désormais référencer directement les charges de travail GKE et les comptes de service Kubernetes, simplifiant considérablement la configuration. De plus, la mise à jour permet une intégration plus poussée avec la plateforme IAM de Google Cloud, donnant aux identités Kubernetes des représentations principales et principalSet de première classe au sein de Google Cloud IAM. Cela signifie que vous pouvez désormais voir les recommandations de privilèges minimaux pour vos charges de travail Kubernetes et appliquer ces recommandations directement au principal Kubernetes dans le recommandeur IAM. En outre, la nouvelle configuration prend en charge la notation principalSet, qui permet une sélection basée sur les attributs de plusieurs identités. Par conséquent, vous pouvez désormais référencer plusieurs charges de travail GKE dans une seule stratégie IAM. Par exemple, vous pouvez référencer toutes les charges de travail ou pods appartenant à un espace de noms Kubernetes ou toutes les charges de travail ou pods appartenant à un cluster Kubernetes. Cependant, il existe quelques limitations à connaître. Si l'une d'entre elles s'applique, vous devrez continuer à utiliser la méthode précédente d'emprunt d'identité de compte de service pour effectuer l'authentification. Par exemple, un petit nombre de services Google Cloud ne prennent pas encore en charge les principaux de la Fédération d'identité de charge de travail et de la main-d'œuvre. De même, les règles d'entrée et de sortie des contrôles de service VPC ne prennent pas en charge les principaux et les principalSets de la Fédération d'identité de charge de travail. Enfin, l'autorisation spécifique d'invoquer une instance Cloud Run ne prend pas en charge les principaux et les principalSets de la Fédération d'identité de charge de travail.