Google Cloud ha actualizado la Federación de Identidad de Carga de Trabajo para GKE, lo que facilita a los usuarios proteger sus cargas de trabajo de Kubernetes. Anteriormente, las cargas de trabajo necesitaban suplantar una cuenta de servicio de Google Cloud con su cuenta de servicio de Kubernetes (KSA). Si bien esto mejoró la seguridad, era difícil de configurar. Con esta actualización, las políticas de IAM de Google Cloud ahora pueden hacer referencia directamente a las cargas de trabajo de GKE y las cuentas de servicio de Kubernetes, lo que simplifica significativamente la configuración. Además, la actualización permite una integración más profunda con la plataforma IAM de Google Cloud, lo que otorga a las identidades de Kubernetes representaciones de principal y principalSet de primera clase dentro de Google Cloud IAM. Esto significa que ahora puede ver recomendaciones de privilegios mínimos para sus cargas de trabajo de Kubernetes y aplicar estas recomendaciones directamente al principal de Kubernetes dentro del recomendador de IAM. Además, la nueva configuración admite la notación principalSet, que permite la selección basada en atributos de múltiples identidades. Como resultado, ahora puede hacer referencia a múltiples cargas de trabajo de GKE en una sola política de IAM. Por ejemplo, puede hacer referencia a todas las cargas de trabajo o pods que pertenecen a un espacio de nombres de Kubernetes o a todas las cargas de trabajo o pods que pertenecen a un clúster de Kubernetes. Sin embargo, existen algunas limitaciones a tener en cuenta. Si alguna de estas se aplica, deberá continuar utilizando el método anterior de suplantación de cuentas de servicio para realizar la autenticación. Por ejemplo, una pequeña cantidad de servicios de Google Cloud aún no son compatibles con los principales de la Federación de Identidad de Carga de Trabajo y Fuerza Laboral. Del mismo modo, las reglas de entrada y salida de los Controles de Servicio de VPC no son compatibles con el principal y los principalSets de la Federación de Identidad de Carga de Trabajo. Finalmente, el permiso específico para invocar una instancia de Cloud Run no es compatible con el principal y los principalSets de la Federación de Identidad de Carga de Trabajo.