从 Google 服务帐户模拟 Azure 服务主体
Impersonate Azure Service Principal from a Google Service Account
我想使用 Google 服务帐户 JWT 令牌获取 Azure 服务主体 (SP) 的临时凭证。这是从 GKE 工作负载调用 Azure API 所必需的,而无需在 GKE 中存储长期 SP 凭据。
对于 GCP -> Azure(我知道它是针对 Azure -> GCP,基于 [1],以及 GCP -> AWS [2]),这种联合是否可行?如何实现?
[1] https://cloud.google.com/iam/docs/workload-identity-federation
[2] https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html
假设您的工作负载是安全的,我不明白您为什么不能将凭据存储在 GKE 中。
您可能需要一个代理服务,该服务可以对其进行身份验证并获取临时凭证。在这种情况下,您不需要将凭证长期存储在 GKE 中。
但是,威胁模型仍然相同,如果您的工作负载受到损害,攻击者还可以冒充您的工作负载并使用代理服务获取凭据。
Azure AD 在 public 预览版中有一项名为“工作负载身份联合”的新功能。这将允许您使用 Google 颁发的 JWT 来获取 Azure AD application/service 主体的访问令牌。
我写了这篇博客 post,它提供了有关如何使其正常工作的更多详细信息:https://blog.identitydigest.com/azuread-federate-gcp/
我想使用 Google 服务帐户 JWT 令牌获取 Azure 服务主体 (SP) 的临时凭证。这是从 GKE 工作负载调用 Azure API 所必需的,而无需在 GKE 中存储长期 SP 凭据。
对于 GCP -> Azure(我知道它是针对 Azure -> GCP,基于 [1],以及 GCP -> AWS [2]),这种联合是否可行?如何实现?
[1] https://cloud.google.com/iam/docs/workload-identity-federation
[2] https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html
假设您的工作负载是安全的,我不明白您为什么不能将凭据存储在 GKE 中。
您可能需要一个代理服务,该服务可以对其进行身份验证并获取临时凭证。在这种情况下,您不需要将凭证长期存储在 GKE 中。
但是,威胁模型仍然相同,如果您的工作负载受到损害,攻击者还可以冒充您的工作负载并使用代理服务获取凭据。
Azure AD 在 public 预览版中有一项名为“工作负载身份联合”的新功能。这将允许您使用 Google 颁发的 JWT 来获取 Azure AD application/service 主体的访问令牌。
我写了这篇博客 post,它提供了有关如何使其正常工作的更多详细信息:https://blog.identitydigest.com/azuread-federate-gcp/