Google Cloud 更新了 GKE 的 Workload Identity Federation,使用户可以更轻松地保护其 Kubernetes 工作负载。以前,工作负载需要使用其 Kubernetes 服务帐户 (KSA) 模拟 Google Cloud 服务帐户。虽然这提高了安全性,但设置起来很困难。通过此更新,Google Cloud IAM 策略现在可以直接引用 GKE 工作负载和 Kubernetes 服务帐户,从而大大简化了设置。此外,此更新可与 Google Cloud 的 IAM 平台进行更深入的集成,使 Kubernetes 身份在 Google Cloud IAM 中具有一流的主体和主体集表示形式。这意味着您现在可以在 IAM 推荐器中查看 Kubernetes 工作负载的最低权限建议,并将这些建议直接应用于 Kubernetes 主体。此外,新配置支持主体集表示法,该表示法支持基于属性的多身份选择。因此,您现在可以在单个 IAM 策略中引用多个 GKE 工作负载。例如,您可以引用属于 Kubernetes 命名空间的所有工作负载或 pod,或属于 Kubernetes 集群的所有工作负载或 pod。但是,有一些限制需要注意。如果其中任何一个适用,您将需要继续使用之前的服务帐户模拟方法来执行身份验证。例如,少数 Google Cloud 服务尚不支持 Workload 和 Workforce Identity Federation 主体。同样,VPC 服务控件入口和出口规则不支持 Workload Identity Federation 主体和主体集。最后,调用 Cloud Run 实例的特定权限不支持 Workload Identity Federation 主体和主体集。