3.0 KiB
title | test |
---|---|
Ідентичність | n/a |
Ідентичність є основною концепцією інфраструктури безпеки. Модель ідентичності Istio базується на ідентичності робочого навантаження першого класу. На початку комунікації між сервісами дві сторони обмінюються обліковими даними з їх інформацією про ідентичність для цілей взаємної автентифікації.
Клієнти звіряють ідентичність сервера зі своєю захищеною інформацією про імена, щоб визначити, чи має сервер дозвіл на запуск сервісу.
Сервери перевіряють ідентичність клієнта, щоб визначити, до якої інформації він може отримати доступ. Сервери базуються на налаштованій політиці авторизації.
Використовуючи ідентичність, сервери можуть перевіряти час, коли та яку інформацію отримав конкретний клієнт. Вони також можуть стягувати плату з клієнтів на основі послуг, які вони використовують, і відмовити у доступі будь-яким клієнтам, які не сплатили рахунок.
Модель ідентичності Istio є гнучкою та детальною, щоб представляти людину, окремий сервіс або групу сервісів. На платформах без ідентичності сервісу першого класу Istio може використовувати інші ідентичності, які можуть групувати екземпляри сервісів, такі як імена сервісів.
Istio підтримує такі ідентичності сервісів на різних платформах:
-
Kubernetes: службовий обліковий запис Kubernetes
-
GKE/GCE: службовий обліковий запис GCP
-
GCP: службовий обліковий запис GCP
-
AWS: обліковий запис IAM користувача/ролі AWS
-
Власні (не Kubernetes): обліковий запис користувача, власний службовий обліковий запис, імʼя сервісу, службовий обліковий запис Istio або службовий обліковий запис GCP. Власний службовий обліковий запис повʼязаний з наявним службовий обліковим записом, подібно до ідентичностей, якими управляє Identity Directory.