---
title: Identity
---

身份是基本的安全基础结构概念。Istio 的身份模型是基于第一阶级的工作负载身份。在服务之间的通信开始时，双方使用身份信息交换证书来实现相互认证的目的。

客户端根据其安全的命名信息检查服务器的身份，以便确定服务器是否被授权运行服务。

服务器检查客户端的身份，以确定客户端可以访问的信息。服务器基于客户端的身份，来确定配置的策略。

通过使用身份，服务器可以审核访问信息的时间和特定客户端访问的信息内容。还可以根据客户使用的服务向他们收费，并拒绝任何未付款的客户访问服务。

Istio 身份模型非常灵活，粒度足以代表单个用户、单个服务，或者一组服务。在没有第一阶级服务身份的平台，Istio 可以使用其他的身份为服务实例进行分组，例如服务名称。

Istio 在不同的平台上支持以下服务身份：

- Kubernetes: Kubernetes 服务账户

- GKE/GCE: GCP 服务账户

- GCP: GCP 服务账户

- AWS: AWS IAM 用户/角色 账户

- 本地 （非 Kubernetes）：用户账户、客户服务账户、服务名称、Istio 服务账户，或者 GCP 服务账户。
  客户服务账户指现有的服务账户，就像客户身份目录中管理的身份。

通常，[信任域](/zh/docs/reference/glossary/#trust-domain)指定身份所属的网格。