mirror of https://github.com/istio/istio.io.git
29 lines
1.4 KiB
Markdown
29 lines
1.4 KiB
Markdown
---
|
||
title: Identity
|
||
---
|
||
|
||
身份是基本的安全基础结构概念。Istio 的身份模型是基于第一阶级的工作负载身份。在服务之间的通信开始时,双方使用身份信息交换证书来实现相互认证的目的。
|
||
|
||
客户端根据其安全的命名信息检查服务器的身份,以便确定服务器是否被授权运行服务。
|
||
|
||
服务器检查客户端的身份,以确定客户端可以访问的信息。服务器基于客户端的身份,来确定配置的策略。
|
||
|
||
通过使用身份,服务器可以审核访问信息的时间和特定客户端访问的信息内容。还可以根据客户使用的服务向他们收费,并拒绝任何未付款的客户访问服务。
|
||
|
||
Istio 身份模型非常灵活,粒度足以代表单个用户、单个服务,或者一组服务。在没有第一阶级服务身份的平台,Istio 可以使用其他的身份为服务实例进行分组,例如服务名称。
|
||
|
||
Istio 在不同的平台上支持以下服务身份:
|
||
|
||
- Kubernetes: Kubernetes 服务账户
|
||
|
||
- GKE/GCE: GCP 服务账户
|
||
|
||
- GCP: GCP 服务账户
|
||
|
||
- AWS: AWS IAM 用户/角色 账户
|
||
|
||
- 本地 (非 Kubernetes):用户账户、客户服务账户、服务名称、Istio 服务账户,或者 GCP 服务账户。
|
||
客户服务账户指现有的服务账户,就像客户身份目录中管理的身份。
|
||
|
||
通常,[信任域](/zh/docs/reference/glossary/#trust-domain)指定身份所属的网格。
|