Google Cloud を使用するには、ユーザーとワークロードに Google Cloud が認識できる ID が必要です。
このページでは、ユーザーとワークロードの ID を構成するために使用できる方法について概要を説明します。
ユーザー ID
Google Cloud がユーザー ID を認識できるようにユーザー ID を構成するには、いくつかの方法があります。
- Cloud Identity アカウントまたは Google Workspace アカウントを作成する: Cloud Identity アカウントまたは Google Workspace アカウントを持つユーザーは、Google Cloud で認証を行い、Google Cloud リソースの使用許可を得ることができます。Cloud Identity アカウントと Google Workspace アカウントは、組織で管理されるユーザー アカウントです。
- 次のいずれかのフェデレーション ID 戦略を設定する:
- Cloud Identity または Google Workspace を使用した連携: 外部 ID を対応する Cloud Identity アカウントまたは Google Workspace アカウントと同期して、ユーザーが外部認証情報を使用して Google サービスにログインできるようにします。この方法では、ユーザーは外部アカウントと、Cloud Identity アカウントまたは Google Workspace アカウントの 2 つのアカウントが必要になります。これらのアカウントの同期を維持するには、Google Cloud Directory Sync(GCDS)などのツールを使用します。
- Workforce Identity 連携: 外部 ID プロバイダ(IdP)を使用してユーザーの認証と認可を行い、ユーザーが Google Cloud にログインし、外部の認証情報を使用して Google リソースとプロダクトにアクセスできるようにします。Workforce Identity 連携では、ユーザーは外部アカウント(外部アカウント)のみを必要とします。
ユーザー ID の設定方法の詳細については、ユーザー ID の概要をご覧ください。
Workload Identity
Google Cloud には、ワークロードの ID として機能するサービス アカウントが用意されています。ワークロードへのアクセス権を直接付与するのではなく、サービス アカウントにアクセス権を付与し、ワークロードでサービス アカウントを ID として使用します。
ワークロードにサービス アカウントを ID として使用する方法はいくつかあります。使用できる方法は、ワークロードが実行されている場所によって異なります。
Google Cloud でワークロードを実行している場合は、次の方法で Workload Identity を構成できます。
- 接続されたサービス アカウント: サービス アカウントをリソースのデフォルトの ID として機能するように、サービス アカウントをリソースに接続します。リソースで実行されるワークロードは、Google Cloud サービスにアクセスする際にサービス アカウントの ID を使用します。
- 有効期間の短いサービス アカウント認証情報: リソースが Google Cloud サービスにアクセスする必要があるときに、有効期間の短いサービス アカウント認証情報を生成して使用します。最も一般的なタイプの認証情報は、OAuth 2.0 アクセス トークンと OpenID Connect(OIDC)ID トークンです。
- Google Kubernetes Engine Workload Identity: Google Cloud リソースにアクセスするときに、GKE サービス アカウントが IAM サービス アカウントとして機能できるようにします。このタイプの ID は、Google Kubernetes Engine ワークロードにのみ適用されます。
Google Cloud の外部でワークロードを実行している場合は、次の方法で Workload Identity を構成できます。
- Workload Identity 連携: 外部 ID プロバイダの認証情報を使用して有効期間の短い認証情報を生成します。ワークロードは、この認証情報を使用してサービス アカウントの権限を一時的に借用できます。これにより、ワークロードはサービス アカウントを ID として Google Cloud リソースにアクセスできるようになります。
サービス アカウント キー: サービス アカウントの公開鍵 / 秘密鍵の RSA 鍵ペアの秘密鍵の部分を使用して、サービス アカウントとして認証します。
Workload Identity を設定する場合の詳細については、Workload Identity の概要をご覧ください。