O Google Cloud atualizou o Workload Identity Federation para GKE, facilitando a proteção das cargas de trabalho do Kubernetes para os usuários. Anteriormente, as cargas de trabalho precisavam representar uma conta de serviço do Google Cloud com sua conta de serviço do Kubernetes (KSA). Embora isso tenha melhorado a segurança, era difícil de configurar. Com esta atualização, as políticas do IAM do Google Cloud agora podem referenciar diretamente as cargas de trabalho do GKE e as contas de serviço do Kubernetes, simplificando significativamente a configuração. Além disso, a atualização permite uma integração mais profunda com a plataforma IAM do Google Cloud, dando às identidades do Kubernetes representações principal e principalSet de primeira classe no IAM do Google Cloud. Isso significa que agora você pode ver as recomendações de privilégios mínimos para suas cargas de trabalho do Kubernetes e aplicar essas recomendações diretamente ao principal do Kubernetes no IAM Recommender. Além disso, a nova configuração oferece suporte à notação principalSet, que permite a seleção baseada em atributos de várias identidades. Como resultado, agora você pode referenciar várias cargas de trabalho do GKE em uma única política do IAM. Por exemplo, você pode referenciar todas as cargas de trabalho ou pods que pertencem a um namespace do Kubernetes ou todas as cargas de trabalho ou pods que pertencem a um cluster do Kubernetes. No entanto, existem algumas limitações a serem observadas. Se alguma delas se aplicar, você precisará continuar usando o método anterior de representação de conta de serviço para realizar a autenticação. Por exemplo, um pequeno número de serviços do Google Cloud ainda não oferece suporte aos principais da Workload and Workforce Identity Federation. Da mesma forma, as regras de entrada e saída do VPC Service Controls não oferecem suporte ao principal e aos principalSets da Workload Identity Federation. Por fim, a permissão específica para invocar uma instância do Cloud Run não oferece suporte ao principal e aos principalSets da Workload Identity Federation.