マネージド ワークロード ID を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。Google Cloud では、Certificate Authority Service から発行された X.509 証明書がプロビジョニングされます。この証明書を使用することで、相互 TLS(mTLS)認証でワークロード間の認証を確実に行うことができます。
この相互運用性を実現するため、マネージド ワークロード ID は Secure Production Identity Framework For Everyone(SPIFFE)に準拠しています。この仕様では、ワークロード間の通信を識別して保護するためのフレームワークと一連の標準が定義されています。SPIFFE では、マネージド ワークロード ID は spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID の形式で表されます。
マネージド ワークロード ID は他のワークロードの認証に使用できますが、Google Cloud APIs の認証には使用できません。
リソース階層
マネージド ワークロード ID はワークロード ID プール内に定義されます。このプールは、プール内のすべての ID の信頼境界として機能します。ワークロード ID プールは、マネージド ワークロード ID の SPIFFE 識別子の信頼ドメイン コンポーネントを形成します。組織内の論理環境(開発、ステージング、本番環境など)ごとに新しいプールを作成することをおすすめします。
ワークロード ID プール内では、マネージド ワークロード ID が名前空間と呼ばれる管理境界に編成されます。名前空間は、関連するワークロード ID を整理し、アクセス権を付与するのに役立ちます。
マネージド ワークロード ID の認証情報をワークロードに発行するには、証明書ポリシーを使用して、ワークロードがマネージド ワークロード ID を使用できるようにする必要があります。ワークロード証明ポリシーを使用すると、検証可能なワークロードの属性(プロジェクト ID やリソース名など)に基づいてマネージド ワークロード ID の認証情報を発行できるワークロードを定義できます。ワークロード証明書ポリシーにより、信頼できるワークロードのみがマネージド ID を使用できるようになります。
ワークロードに接続されているサービス アカウントに基づいて、ワークロードがマネージド ワークロード ID を使用できるようにすることができます。
次のステップ
使ってみる
Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
無料で開始