マネージド ワークロード ID を使用すると、厳密に証明された ID を Google Kubernetes Engine(GKE)と Compute Engine のワークロードにバインドできます。
Google Cloud は、Certificate Authority Service から発行された X.509 の認証情報とトラスト アンカーをプロビジョニングします。認証情報とトラスト アンカーを使用すると、相互 TLS(mTLS)認証でワークロード間の認証を確実に行うことができます。
GKE 用マネージド ワークロード ID は、プレビュー版で利用できます。Compute Engine のマネージド ワークロード ID は、リクエストに応じてプレビュー版で利用できます。Compute Engine 用マネージド ワークロード ID(プレビュー版)へのアクセスをリクエストする。
SPIFFE の相互運用性
動的かつ異なる環境間の相互運用性を実現するため、マネージド ワークロード ID は Secure Production Identity Framework For Everyone(SPIFFE)に準拠しています。SPIFFE は、ワークロード間の通信を識別、認証、保護するためのフレームワークと一連の標準が定義されています。SPIFFE ワークロードは、一意の SPIFFE ID で識別されます。 Google Cloudでは、SPIFFE ID の形式は次のとおりです。
Compute Engine ワークロード:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDGKE ワークロード:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT
リソース階層
このセクションでは、マネージド ワークロード ID リソースについて説明します。
Workload Identity プール
マネージド ワークロード ID は Workload Identity プール内に定義されます。このプールは、プール内のすべての ID の信頼境界として機能します。ワークロード ID プールは、マネージド ワークロード ID の SPIFFE 識別子の信頼ドメイン コンポーネントを形成します。組織内の論理環境(開発、ステージング、本番環境など)ごとに新しいプールを作成することをおすすめします。
名前空間
Workload Identity プール内では、マネージド ワークロード ID が名前空間と呼ばれる管理境界に編成されます。名前空間は、関連するワークロード ID を整理し、アクセス権を付与するのに役立ちます。
証明書ポリシー
Compute Engine のマネージド ワークロード ID では、証明書ポリシーを構成する必要があります。
GKE 用マネージド ワークロード ID は、証明書ポリシーを管理します。
ワークロード証明書ポリシーを使用すると、検証可能なワークロードの属性(プロジェクト ID やリソース名など)に基づいてマネージド ワークロード ID の認証情報を発行できるワークロードを定義できます。ワークロード証明書ポリシーにより、信頼できるワークロードのみがマネージド ID を使用できるようになります。
次のステップ
使ってみる
Google Cloudを初めて使用する場合は、アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
無料で開始