ワークロードの ID

このページでは、 Google Cloud リソースへのワークロードのアクセスを構成するために使用できる ID タイプについて説明します。

Google Cloud には、ワークロードに次の種類の ID が用意されています。

Workload Identity 連携と Workload Identity Federation for GKE を使用すると、ワークロードは外部 ID プロバイダ（IdP）で認証されたフェデレーション ID を使用して、ほとんどの Google Cloud サービスにアクセスできます。Google Cloud が ID をプリンシパルとして認証すると、プリンシパルは付与された IAM ロールを使用してリソースにアクセスできます。
Google Cloud サービスアカウントは、本番環境でワークロードの ID として機能します。ワークロードへのアクセス権を直接付与するのではなく、サービスアカウントにアクセス権を付与し、ワークロードでサービスアカウントを ID として使用します。
マネージドワークロード ID （プレビュー）を使用すると、厳密に証明された ID を Compute Engine と GKE のワークロードにバインドできます。

ワークロードに使用できる ID の種類とその構成方法は、ワークロードの実行場所によって異なります。

Google Cloudでワークロードを構成する

Google Cloudでワークロードを実行している場合は、次の方法でワークロードの ID を構成できます。

接続されたサービスアカウント
Workload Identity Federation for GKE（Google Kubernetes Engine で実行されるワークロードのみ）
マネージドワークロード ID（Compute Engine と GKE で実行されるワークロードのみ）
サービスアカウントキー

接続されたサービスアカウント

一部の Google Cloud リソースでは、リソースがデフォルトの ID として使用するユーザー管理のサービスアカウントを指定できます。このプロセスは、サービスアカウントをリソースに「接続する」、またはサービスアカウントとリソースを「関連付ける」といいます。リソースで実行されているコードが Google Cloud のサービスとリソースにアクセスすると、そのリソースに関連付けられているサービスアカウントが ID として使用されます。たとえば、サービスアカウントを Compute Engine インスタンスに接続し、そのインスタンスのアプリケーションがクライアントライブラリを使用して Google Cloud APIs を呼び出す場合、これらのアプリケーションは、認証と認可に接続されたサービスアカウントを自動的に使用します。

ほとんどの場合、リソースの作成時にリソースアカウントをサービスアカウントに関連付ける必要があります。リソースの作成後に、リソースに関連付けられているサービスアカウントを変更することはできません。Compute Engine インスタンスは例外です。必要に応じて、インスタンスに接続するサービスアカウントを変更できます。

詳細については、サービスアカウントをリソースに接続するをご覧ください。

Workload Identity Federation for GKE

GKE で実行されるワークロードの場合、Workload Identity Federation for GKE を使用すると、クラスタ内のアプリケーションごとに、個々のきめ細かいプリンシパルセットに対して IAM ロールを付与できます。Workload Identity Federation for GKE を使用すると、GKE クラスタ内の Kubernetes サービスアカウントが Workforce Identity 連携を使用して Google Cloudリソースに直接アクセスすることや、IAM サービスアカウントの権限を借用して間接的にアクセスすることが可能になります。

リソースへの直接アクセスを使用すると、 Google Cloud サービスのリソースで Kubernetes サービスアカウント ID に IAM ロールを直接付与できます。ほとんどの Google Cloud API は、リソースへの直接アクセスをサポートしています。ただし、ID 連携を使用すると、一部の API メソッドに制限が適用される場合があります。これらの制限の一覧については、サポートされているプロダクトと制限事項をご覧ください。

別の方法として、ワークロードでサービスアカウントの権限を借用することもできます。この場合、構成された Kubernetes ServiceAccount は IAM サービスアカウントにバインドされ、 Google CloudAPIs へのアクセス時に ID として機能します。

Workload Identity Federation for GKE の詳細については、Workload Identity Federation for GKE をご覧ください。

マネージドワークロード ID

マネージドワークロード ID を使用すると、厳密に証明された ID を Compute Engine と GKE のワークロードにバインドできます。マネージドワークロード ID を使用して、mTLS を使用してワークロード間の認証を行えます。

マネージドワークロード ID と、それを使用するようにプラットフォームを構成する方法については、マネージドワークロード ID の概要をご覧ください。

外部ワークロードを構成する

Google Cloudの外部でワークロードを実行している場合は、次の方法でワークロードの ID を構成できます。

Workload Identity 連携
サービスアカウントキー

Workload Identity 連携

Workload Identity 連携は、Google Cloud 上のワークロードまたは AWS、Azure、GitHub、GitLab などのプラットフォームで実行される外部ワークロードで使用できます。

Workload Identity 連携を使用すると、AWS、Azure、Active Directory などの外部 ID プロバイダの認証情報を使用して有効期間の短い認証情報を生成できます。ワークロードは、この認証情報を使用して、サービスアカウントの権限を一時的に借用できます。これにより、ワークロードはサービスアカウントを ID として Google Cloudリソースにアクセスできるようになります。

外部ワークロードの ID を構成する場合は、Workload Identity 連携を使用することをおすすめします。

Workload Identity 連携の詳細については、Workload Identity 連携をご覧ください。

サービスアカウントキー

サービスアカウントキーを使用すると、ワークロードでサービスアカウントとして認証を行い、サービスアカウントの ID で認可を行うことができます。

注: サービスアカウントキーが正しく管理されていない場合は、セキュリティリスクが発生します。可能であれば、サービスアカウントキーよりも安全な代替手段を選択してください。サービスアカウントキーで認証する必要がある場合は、秘密鍵のセキュリティと、サービスアカウントキーを管理するためのベストプラクティスで説明されているその他の操作は、ユーザーの責任で実施してください。サービスアカウントキーを作成できない場合は、組織でサービスアカウントキーの作成が無効になっている可能性があります。詳細については、デフォルトで安全な組織リソースの管理をご覧ください。

外部ソースからサービスアカウントキーを取得した場合は、使用前に検証する必要があります。詳細については、外部ソースの認証情報のセキュリティ要件をご覧ください。

ローカルでの開発

ローカル環境で開発している場合は、認証と認可にユーザー認証情報またはサービスアカウントを使用するようにワークロードを構成できます。詳細については、認証ドキュメントのローカル開発環境をご覧ください。

ワークロードの ID コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Google Cloudでワークロードを構成する

接続されたサービス アカウント