X.509 証明書を使用して Workload Identity 連携を構成する

このガイドでは、認証局（CA）によって発行された X.509 証明書を使用して Workload Identity 連携を実行し、Google Cloud で認証を行い Google Cloud リソースにアクセスする方法について説明します。

ワークロードが mTLS クライアント証明書を所有している場合は、1 つ以上の CA を Workload Identity 連携にトラスト アンカーとして登録することで、Google Cloud に対して認証できます。中間 CA を登録することもできます。

Workload Identity 連携を使用すると、これらのワークロードは相互 TLS（mTLS）接続を介して有効期間の短い Google Cloud 認証情報を取得できます。ワークロードは、これらの有効期間が短い認証情報を使用して Google Cloud APIs にアクセスできます。

コンセプト

X.509 証明書ベースの連携のコンセプトには、次のようなものが含まれています。

• トラスト アンカーは、信頼のルートとして見なされる CA 証明書です。クライアント証明書チェーンは、いずれかのトラスト アンカーにチェーンする必要があります。

• 中間 CA は、クライアント証明書チェーンの構築に役立つオプションの認証局証明書です。

• トラストストアには、クライアント証明書チェーンの検証に使用されるトラスト アンカー証明書と中間 CA 証明書が含まれています。CA は、クライアントに信頼できる証明書を発行します。

  トラストストアには、次の種類のクライアント証明書をアップロードできます。

  • 任意の第三者の CA が発行した証明書
  • プライベート CA によって発行された証明書
  • 署名付き証明書（自己署名証明書を作成するを参照）。

始める前に

Workload Identity 連携の構成を開始するには、次の操作を行います。

1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

Workload Identity のプールとプロバイダの管理に専用のプロジェクトを使用することをおすすめします。

2. Make sure that billing is enabled for your Google Cloud project.

Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.

Enable the APIs

必要なロール

Workload Identity 連携の構成に必要な権限を取得するため、プロジェクトに対して次の IAM ロールを付与するよう管理者に依頼してください。

• Workload Identity プール管理者（roles/iam.workloadIdentityPoolAdmin）
• サービス アカウント管理者（roles/iam.serviceAccountAdmin）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

また、IAM オーナー（roles/owner）の基本ロールには ID 連携を構成する権限も含まれています。本番環境では基本ロールを付与すべきではありません。基本ロールは、開発環境またはテスト環境で付与してください。

Workload Identity 連携を構成する

このセクションでは、Workload Identity 連携とトラストストアを構成する方法について説明します。この手順は、トラストストアごとに 1 回だけ行います。これにより、複数のワークロードと複数の Google Cloud プロジェクトで同じ Workload Identity のプールとプロバイダを使用できます。

トラストストアを作成して構成する

このセクションでは、トラストストアの YAML 構成ファイルと自己署名 CA 証明書を作成する方法について説明します。

鍵と署名済み証明書を生成する

このセクションでは、openssl コマンドを使用してルート証明書と中間証明書を作成します。

証明書がすでにある場合は、この手順をスキップして、証明書をフォーマットするに進みます。

ルート証明書と、有効な keyUsage および extendedKeyUsage フィールドを含む署名付き中間証明書を生成するには、次の操作を行います。

1. 有効な署名証明書を作成するために必要な最小限の構成を含むサンプルの example.cnf ファイルを作成します。このファイルを編集して、これらの証明書に追加のフィールドを設定できます。

   cat > example.cnf << EOF
   [req]
   distinguished_name = empty_distinguished_name
   [empty_distinguished_name]
   # Kept empty to allow setting via -subj command line arg.
   [ca_exts]
   basicConstraints=critical,CA:TRUE
   keyUsage=keyCertSign
   extendedKeyUsage=clientAuth
   EOF
   

2. ルート証明書を作成します。

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=root' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout root.key -out root.cert
   

3. 中間証明書の署名リクエストを作成します。

   openssl req \
       -new -sha256 -newkey rsa:2048 -nodes \
       -subj '/CN=int' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout int.key -out int.req
   

4. 中間証明書を作成します。

   openssl x509 -req \
       -CAkey root.key -CA root.cert \
       -set_serial 1 \
       -days 3650 \
       -extfile example.cnf \
       -extensions ca_exts \
       -in int.req -out int.cert
   

証明書をフォーマットする

新規または既存の証明書をトラストストアに含めるには、YAML ファイルに読み込めるように、証明書を 1 行にまとめて環境変数に格納します。証明書は PEM 形式にする必要があります。証明書をフォーマットして環境変数に格納する手順は次のとおりです。

1. ルート証明書を 1 行の文字列として保存します。

   export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

2. 中間証明書を 1 行の文字列として保存します。

   export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | sed -z '$ s/\n$//' | tr '\n' $ | sed 's/\$/\\n/g')
   

トラストストアの YAML ファイルを作成する

このセクションでは、トラスト アンカーと中間 CA を含むトラストストアの YAML ファイルを作成します。

トラストストアの YAML ファイルを作成するには、次のコマンドを実行します。このファイルには、証明書をフォーマットするで作成した環境変数からの証明書の内容が含まれています。トラスト アンカーを追加するには、trustStore の下に trustAnchors エントリを追加します。中間 CA 証明書を追加するには、trustStore の下に intermediateCas エントリを追加します。

cat << EOF > trust_store.yaml
trustStore:
  trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF

属性のマッピングと条件を定義する

クライアント X.509 証明書には複数の属性を含めることができます。Google Cloud の google.subject を証明書の属性にマッピングして、サブジェクト識別子として使用する属性を選択する必要があります。たとえば、証明書内の属性がサブジェクトの共通名である場合、マッピングは次のようになります。 google.subject=assertion.subject.dn.cn

必要に応じて、追加の属性をマッピングできます。これにより、リソースへのアクセス権を付与する際にこれらの属性を参照できます。

属性マッピングでは、次のようなクライアント証明書内の属性を使用できます。

• serialNumberHex: シリアル番号
• subject.dn.cn: サブジェクトの共通名
• subject.dn.o: サブジェクトの組織名
• subject.dn.ou: サブジェクトの組織部門
• issuer.dn.cn: 発行者のコモンネーム
• issuer.dn.o: 発行元の組織名
• issuer.dn.ou: 発行元の組織部門
• san.dns: サブジェクト代替名の最初の DNS 名
• san.uri: サブジェクト代替名の最初の URI

サブジェクトを一意に識別するには、これらの属性のいずれかを google.subject にマッピングする必要があります。なりすましの脅威から保護するため、変更できない一意の値を持つ属性を選択します。デフォルトでは、google.subject ID はクライアント証明書のサブジェクトの共通名（assertion.subject.dn.cn）に設定されます。

（省略可）属性条件を定義します。属性条件は、アサーション属性とターゲット属性をチェックする CEL 式です。特定の認証情報の属性条件が true と評価されると、認証情報が受け入れられます。それ以外の場合、認証情報は拒否されます。

属性条件を使用して、有効期間の短い Google Cloud トークンを取得するために Workload Identity 連携を使用できるサブジェクトを制限できます。

たとえば、次の条件は、SPIFFE ID spiffe://example/path を含むクライアント証明書へのアクセスを制限します。

assertion.san.uri=="spiffe://example/path"

Workload Identity のプールとプロバイダを作成する

1. 新しい Workload Identity プールを作成するには、次のコマンドを実行します。

   gcloud iam workload-identity-pools create POOL_ID \
       --location="global" \
       --description="DESCRIPTION" \
       --display-name="DISPLAY_NAME"
   

   以下を置き換えます。

   • POOL_ID: プールの一意の ID。
   • DISPLAY_NAME: プールの名前。
   • DESCRIPTION: 選択したプールの説明。この説明は、プール ID へのアクセス権を付与するときに表示されます。

2. X.509 Workload Identity プール プロバイダを追加するには、次のコマンドを実行します。

   gcloud iam workload-identity-pools providers create-x509 PROVIDER_ID \
       --location=global \
       --workload-identity-pool="POOL_ID" \
       --trust-store-config-path="TRUST_STORE_CONFIG" \
       --attribute-mapping="MAPPINGS" \
       --attribute-condition="CONDITIONS" \
       --billing-project="ALLOWLISTED_PROJECT"
   

   次のように置き換えます。

   • PROVIDER_ID: 一意の Workload Identity プール プロバイダ ID。
   • POOL_ID: 前に作成した Workload Identity プール ID。
   • TRUST_STORE_CONFIG: トラストストアの YAML ファイル。
   • MAPPINGS: このガイドの前半で作成した属性マッピングのカンマ区切りリスト。google.subject を指定しない場合、デフォルトのマッピングは google.subject=assertion.subject.dn.cn になります。
   • CONDITIONS: このガイドの前半で作成した属性条件。属性条件がない場合は、パラメータを削除します。
   • ALLOWLISTED_PROJECT: プロジェクト ID。

ワークロードの認証

この手順は、ワークロードごとに 1 回だけ行います。

外部ワークロードが Google Cloud リソースにアクセスできるようにする

ワークロードに Google Cloud リソースへのアクセス権を付与するには、プリンシパルに直接リソースへのアクセス権を付与することをおすすめします。この場合、プリンシパルは連携ユーザーです。一部の Google Cloud プロダクトには、Google Cloud API の制限事項があります。ワークロードが制限付きの API エンドポイントを呼び出す場合は、サービス アカウントの権限借用を使用できます。この場合、プリンシパルは Google Cloud サービス アカウントであり、ID として機能します。リソースのサービス アカウントにアクセス権を付与します。

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

認証情報の構成をダウンロードまたは作成する

Cloud クライアント ライブラリと gcloud CLI は、外部認証情報を自動的に取得し、これらの認証情報を使用してサービス アカウントの権限を借用できます。ライブラリとツールでこのプロセスを完了するには、認証情報の構成ファイルを指定する必要があります。このファイルに次の項目を定義します。

• 外部認証情報の取得元
• 使用する Workload Identity プールとプロバイダ
• 権限を借用するサービス アカウント

また、X.509 証明書の連携には、証明書の構成ファイルが必要です。このファイルには、X.509 クライアント証明書と秘密鍵ファイルへのパスが含まれています。

認証情報と証明書の構成ファイルを作成する手順は次のとおりです。

gcloud iam workload-identity-pools create-cred-config
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --credential-cert-path CLIENT_CERT_PATH \
    --credential-cert-private-key-path CLIENT_KEY_PATH \
    --output-file=FILEPATH.json

認証情報の構成を使用して Google Cloud にアクセスする

ツールとクライアント ライブラリが認証情報の構成を使用できるようにするには、次の操作を行います。

1. 環境変数 GOOGLE_APPLICATION_CREDENTIALS を初期化し、認証情報の構成ファイルを指すように設定します。

   Bash

     export GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
     

   FILEPATH は、認証情報の構成ファイルの相対パスです。

   PowerShell

     $env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
     

   FILEPATH は、認証情報の構成ファイルの相対パスです。

2. クライアント ライブラリが証明書構成ファイルを検出できるようにします。証明書構成ファイルは、デフォルトの Google Cloud CLI の場所に保存されています。

   • Linux / macOS: ~/.config/gcloud/certificate_config.json

   • Windows: %APPDATA%\gcloud\certificate_config.json

   あるいは、GOOGLE_API_CERTIFICATE_CONFIG 環境変数によって指定されます。

3. Workload Identity 連携をサポートし、認証情報を自動的に検索できるクライアント ライブラリまたはツールを使用します。

  go list -m cloud.google.com/go/auth
  go list -m cloud.google.com/api

  pip show google-auth

  gcloud auth login --cred-file=FILEPATH.json
  

Google Cloud にアクセスするためのプレーン リクエストを使用してアクセス トークンを取得する

アクセス トークンを取得する手順は次のとおりです。

1. curl を使用して、mTLS とクライアント証明書でトークン交換を行います。

   curl --key CLIENT_CERT_KEY \
   --cert CLIENT_CERT \
   --request POST 'https://sts.mtls.googleapis.com/v1/token' \
   --header "Content-Type: application/json" \
   --data-raw '{
       "subject_token_type": "urn:ietf:params:oauth:token-type:mtls",
       "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
       "audience": "WORKLOAD_IDENTITY_POOL_URI",
       "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
       "scope": "https://www.googleapis.com/auth/cloud-platform",
   }'
   

   次のように置き換えます。

   • CLIENT_CERT_KEY: クライアント証明書の秘密鍵
   • CLIENT_CERT: クライアント証明書

   • WORKLOAD_IDENTITY_POOL_URI: Workload Identity プール プロバイダの URL。次の形式で指定します。

     //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

2. 前の手順で生成した Bearer アクセス トークンを使用して、Google Cloud リソースにアクセスします。

   curl -X GET 'https://storage.googleapis.com/my_object' -H "Authorization: Bearer $ACCESS_TOKEN"
   

割り当てと上限

次の表に、割り当てと上限を示します。

次のステップ

• Workload Identity 連携について確認する。
• Workload Identity 連携の使用に関するベスト プラクティスを確認する。
• Workload Identity プールとプロバイダの管理方法を学習する。