관리형 워크로드 아이덴티티 개요

관리형 워크로드 ID를 사용하면 강력하게 증명된 ID를 Compute Engine 워크로드에 결합할 수 있습니다. Google Cloud 는 상호 TLS(mTLS) 인증을 통해 다른 워크로드와 함께 워크로드를 안정적으로 인증하는 데 사용할 수 있는 Certificate Authority Service에서 발급된 X.509 사용자 인증 정보를 프로비저닝합니다.

이러한 상호 운용성을 달성하기 위해 관리형 워크로드 아이덴티티는 워크로드 간 통신의 식별 및 보안을 위한 프레임워크와 표준 집합을 정의하는 Secure Production Identity Framework For Everyone(SPIFFE)을 기반으로 합니다. SPIFFE에서 관리형 워크로드 아이덴티티는 spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID 형식을 사용하여 표현됩니다.

관리형 워크로드 아이덴티티를 다른 워크로드 인증에 사용할 수 있지만 Google Cloud API 인증에 사용할 수 없습니다.

리소스 계층 구조

관리형 워크로드 아이덴티티는 풀 내의 모든 ID에 대한 트러스트 경계 역할을 하는 워크로드 아이덴티티 풀 내에서 정의됩니다. 워크로드 아이덴티티 풀은 관리형 워크로드 아이덴티티의 SPIFFE 식별자의 트러스트 도메인 구성요소를 형성합니다. 조직의 개발, 스테이징 또는 프로덕션과 같은 각 논리적 환경에 대해 새로운 풀을 만드는 것이 좋습니다.

워크로드 아이덴티티 풀 내에서 관리형 워크로드 아이덴티티는 namespaces라는 관리 경계로 구성됩니다. 네임스페이스를 사용하면 관련 워크로드 아이덴티티를 구성하고 액세스 권한을 부여할 수 있습니다.

워크로드에서 관리형 워크로드 아이덴티티의 사용자 인증 정보를 발급하려면 먼저 증명 정책을 사용하여 워크로드에서 관리형 워크로드 아이덴티티를 사용하도록 허용해야 합니다. 워크로드 증명 정책을 사용하면 프로젝트 ID 또는 리소스 이름과 같은 워크로드의 검증 가능한 속성을 기반으로 관리형 워크로드 아이덴티티에 대해 사용자 인증 정보를 발급할 수 있는 워크로드를 정의할 수 있습니다. 워크로드 증명 정책은 신뢰할 수 있는 워크로드만 관리형 ID를 사용할 수 있도록 합니다.

워크로드에 연결된 서비스 계정을 기반으로 워크로드에서 관리형 워크로드 아이덴티티를 사용하도록 승인할 수 있습니다.

다음 단계

• 관리형 워크로드 아이덴티티 인증 구성

• Compute Engine 워크로드와 함께 관리형 워크로드 아이덴티티를 사용하는 방법에 대해 자세히 알아보세요.