mirror of https://github.com/istio/istio.io.git
27 lines
1.3 KiB
Markdown
27 lines
1.3 KiB
Markdown
---
|
||
title: Identity
|
||
test: n/a
|
||
---
|
||
|
||
身份是基本的安全基础结构概念。Istio 的身份模型是基于第一阶级的工作负载身份。
|
||
在服务之间的通信开始时,双方使用身份信息交换证书来实现相互认证的目的。
|
||
|
||
客户端根据其安全的命名信息检查服务器的身份,以便确定服务器是否被授权运行服务。
|
||
|
||
服务器检查客户端的身份,以确定客户端可以访问的信息。服务器基于客户端的身份,来确定配置的策略。
|
||
|
||
通过使用身份,服务器可以审核访问信息的时间和特定客户端访问的信息内容。
|
||
还可以根据客户使用的服务向他们收费,并拒绝任何未付款的客户访问服务。
|
||
|
||
Istio 身份模型非常灵活,粒度足以代表单个用户、单个服务或者一组服务。
|
||
在没有第一阶级服务身份的平台,Istio 可以使用其他的身份为服务实例进行分组,例如服务名称。
|
||
|
||
Istio 在不同的平台上支持以下服务身份:
|
||
|
||
- Kubernetes:Kubernetes 服务账户
|
||
- GKE/GCE:GCP 服务账户
|
||
- GCP:GCP 服务账户
|
||
- AWS:AWS IAM 用户/角色 账户
|
||
- 本地(非 Kubernetes):用户账户、自定义服务账户、服务名称、Istio 服务账户或者 GCP 服务账户。
|
||
自定义服务账户指现有的服务账户,就像客户身份目录中管理的身份。
|