我一直在研究SPIFEE（每個人的安全生產身份框架）[1]，在這里，我正在按照我現在的理解起草流程，以使任何試圖理解流程的人受益。

• 身份注冊表 – SPIRE服務器具有自己的身份注冊表，該注冊表保留兩個粗粒度屬性，這些屬性決定如何將SPIFFE ID發布給工作負載。 它保留了下表中的詳細信息。

特殊ID	節點選擇器	Craft.io選擇器
spiffe：//abc.com/bill	aws：ec2：1234	k8s：命名空間：1234
spiffe：//xyz.com/account	令牌：7236427472	UNIX：UID：1002

提供了單獨的注冊API來管理身份注冊表中的這些條目。

• 節點選擇器 –定義可以在其上運行工作負載的計算機（物理或虛擬）。 根據運行工作負載的基礎結構提供程序（AWS，GCP，裸機）確定要使用的選擇器的確切類型。 例如。 AWS EC2實例ID，物理機的序列號。 節點證明者根據基礎結構提供者采取行動以兌現那里的選擇器。
• 工作負載選擇器 –這定義了在識別節點之后如何識別代表工作負載的流程。 這可以用進程本身的屬性（例如Linux UID）或間接屬性（例如kubernetes名稱空間）來描述。 節點代理負責驗證計算機上的特定進程是否符合其工作負載選擇器的條件。 工作負載證明者基于流程屬性來執行流程選擇器。
• SPIRE節點代理 –位于節點上的進程，用于驗證節點上運行的工作負載的來源，并根據選擇器通過Workload API為這些工作負載提供證書。

管理員或第三方應用程序調用注冊API，以使用所需的SPIFFE ID和相關的選擇器填充身份注冊表。

節點代理使用預先建立的加密密鑰對或基于基礎結構提供程序通過SPIRE服務器進行身份驗證。 例如，對于AWS EC2，節點代理將提交由AWS發布的節點的實例標識文檔（IID）。

SPIRE服務器中的節點證明者根據使用的機制來驗證提供的標識文檔。 如果使用AWS IID，則相關證明者將使用AWS設置對其進行驗證。 驗證成功后，SPIRE服務器會發送回一組SPIFFE ID，這些ID可以連同其進程選擇器策略一起發布給節點。

當工作負載開始在節點中運行時，它首先致電節點代理，詢問“我是誰？”。

基于上一步中接收到的進程選擇器節點代理，并使用工作量證明者，代理決定要賦予工作量的SPIFFE ID。 它基于此生成密鑰對，并將CSR（證書簽名請求）發送到SPIRE服務器。

SPIRE服務器使用工作負載的簽名SVID以及信任包響應節點代理，指示該工作負載可以信任其他哪些負載。

收到來自SPIRE服務器的響應后，節點代理將接收到的SVID移交給信任，將生成的私鑰捆綁到工作負載中。 此私鑰永遠不會離開其工作負載所屬的節點。

如果您發現任何問題，請隨時提出任何更正建議。

[1] – https://spiffe.io [2] – https://docs.google.com/document/d/1RZnBfj8I5xs8Yi_BPEKBRp0K3UnIJYTDg_31rfTt4j8/edit#

翻譯自: https://www.javacodegeeks.com/2019/01/spiffe-nutshell.html

總結

以上是生活随笔為你收集整理的简而言之SPIFFE的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。