قامت جوجل كلاود بتحديث Workload Identity Federation لـ GKE، مما يسهل على المستخدمين تأمين أعباء عمل Kubernetes الخاصة بهم. في السابق، كان على أعباء العمل انتحال شخصية حساب خدمة جوجل كلاود باستخدام حساب خدمة Kubernetes (KSA) الخاص بها. على الرغم من أن هذا قد عزز الأمان، إلا أنه كان من الصعب إعداده. مع هذا التحديث، يمكن لسياسات IAM في جوجل كلاود الآن الرجوع مباشرة إلى أعباء عمل GKE وحسابات خدمة Kubernetes، مما يبسط الإعداد بشكل كبير. بالإضافة إلى ذلك، يوفر التحديث تكاملاً أعمق مع منصة IAM في جوجل كلاود، مما يمنح هويات Kubernetes تمثيلات رئيسية وprincipalSet من الدرجة الأولى داخل جوجل كلاود IAM. وهذا يعني أنه يمكنك الآن رؤية توصيات الأقل امتياز لأعباء عمل Kubernetes الخاصة بك وتطبيق هذه التوصيات مباشرة على المدير الرئيسي لـ Kubernetes داخل أداة التوصية IAM. علاوة على ذلك، يدعم التكوين الجديد تدوين principalSet، الذي يتيح تحديدًا قائمًا على السمات لهويات متعددة. نتيجة لذلك، يمكنك الآن الرجوع إلى أعباء عمل GKE متعددة في سياسة IAM واحدة. على سبيل المثال، يمكنك الرجوع إلى جميع أعباء العمل أو القرون التي تنتمي إلى مساحة أسماء Kubernetes أو جميع أعباء العمل أو القرون التي تنتمي إلى مجموعة Kubernetes. ومع ذلك، هناك بعض القيود التي يجب أن تكون على دراية بها. إذا انطبق أي من هذه القيود، فستحتاج إلى الاستمرار في استخدام طريقة انتحال شخصية حساب الخدمة السابقة لإجراء المصادقة. على سبيل المثال، لا يزال عدد قليل من خدمات جوجل كلاود لا يدعم مديري Workload and Workforce Identity Federation. وبالمثل، لا تدعم قواعد دخول وخروج VPC Service Controls مديري Workload Identity Federation وprincipalSets. أخيرًا، لا يدعم الإذن المحدد لاستدعاء مثيل Cloud Run مديري Workload Identity Federation وprincipalSets.