Google Cloud の ID 管理

Google Cloud を使用するには、ユーザーとワークロードに Google Cloud が認識できる ID が必要です。

このページでは、ユーザーとワークロードの ID を構成するために使用できる方法について概要を説明します。

ユーザー ID

Google Cloud がユーザー ID を認識できるようにユーザー ID を構成するには、いくつかの方法があります。

Cloud Identity アカウントまたは Google Workspace アカウントを作成する: Cloud Identity アカウントまたは Google Workspace アカウントを持つユーザーは、Google Cloud で認証を行い、Google Cloud リソースの使用許可を得ることができます。Cloud Identity アカウントと Google Workspace アカウントは、組織で管理されるユーザーアカウントです。

次のいずれかのフェデレーション ID 戦略を設定する:
- Cloud Identity または Google Workspace を使用した連携: 外部 ID を対応する Cloud Identity アカウントまたは Google Workspace アカウントと同期して、ユーザーが外部認証情報を使用して Google サービスにログインできるようにします。この方法では、ユーザーは外部アカウントと、Cloud Identity アカウントまたは Google Workspace アカウントの 2 つのアカウントが必要になります。これらのアカウントの同期を維持するには、Google Cloud Directory Sync（GCDS）などのツールを使用します。
- Workforce Identity 連携: 外部 ID プロバイダ（IdP）を使用してユーザーを Google Cloud にログインさせ、Google Cloud のリソースとプロダクトにアクセスできるようにします。Workforce Identity 連携では、ユーザーは 1 つのアカウント（外部アカウント）のみを必要とします。このタイプのユーザー ID は、フェデレーション ID と呼ばれることもあります。

ユーザー ID の設定方法の詳細については、ユーザー ID の概要をご覧ください。

Google Cloud では、ワークロードに次の種類の ID サービスが用意されています。

Workload Identity 連携を使用すると、IdP によって提供される ID を使用して、ワークロードがほとんどの Google Cloud サービスにアクセスできるようになります。Workload Identity 連携を使用するワークロードは、Google Cloud、Google Kubernetes Engine（GKE）、または AWS、Azure、GitHub などの他のプラットフォームで実行できます。
Google Cloud サービスアカウントは、ワークロードの ID として機能します。ワークロードへのアクセス権を直接付与するのではなく、サービスアカウントにアクセス権を付与し、ワークロードでサービスアカウントを ID として使用します。
マネージドワークロード ID（プレビュー）を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。マネージドワークロード ID は、mTLS を使用してワークロード間の認証を行うことができますが、Google Cloud APIs に対する認証には使用できません。

使用できる方法は、ワークロードが実行されている場所によって異なります。

Google Cloud でワークロードを実行している場合は、次の方法で Workload Identity を構成できます。

Workload Identity Federation for GKE: GKE クラスタと Kubernetes サービスアカウントに IAM アクセス権を付与します。これにより、クラスタのワークロードは、IAM サービスアカウントの権限を借用せずに、ほとんどの Google Cloud サービスに直接アクセスできます。
接続されたサービスアカウント: サービスアカウントをリソースのデフォルトの ID として機能するように、サービスアカウントをリソースに接続します。リソースで実行されるワークロードは、Google Cloud サービスにアクセスする際にサービスアカウントの ID を使用します。
有効期間の短いサービスアカウント認証情報: リソースが Google Cloud サービスにアクセスする必要があるときに、有効期間の短いサービスアカウント認証情報を生成して使用します。最も一般的なタイプの認証情報は、OAuth 2.0 アクセストークンと OpenID Connect（OIDC）ID トークンです。

Google Cloud の外部でワークロードを実行している場合は、次の方法で Workload Identity を構成できます。

Workload Identity 連携: 外部 ID プロバイダの認証情報を使用して有効期間の短い認証情報を生成します。ワークロードは、この認証情報を使用してサービスアカウントの権限を一時的に借用できます。これにより、ワークロードはサービスアカウントを ID として Google Cloud リソースにアクセスできるようになります。
サービスアカウントキー: サービスアカウントの公開鍵 / 秘密鍵の RSA 鍵ペアの秘密鍵の部分を使用して、サービスアカウントとして認証します。

重要: サービスアカウントキーが正しく管理されていない場合は、セキュリティリスクが発生します。可能であれば、サービスアカウントキーよりも安全な代替手段を選択してください。サービスアカウントキーで認証する必要がある場合は、秘密鍵のセキュリティと、サービスアカウントキーを管理するためのベストプラクティスで説明されているその他の操作は、ユーザーの責任で実施してください。サービスアカウントキーを作成できない場合は、組織でサービスアカウントキーの作成が無効になっている可能性があります。詳細については、デフォルトで安全な組織リソースの管理をご覧ください。

Workload Identity を設定する場合の詳細については、Workload Identity の概要をご覧ください。