Trusted Cloud by S3NSを使用するには、ユーザーとワークロードにTrusted Cloud が認識できる ID が必要です。
このページでは、ユーザーとワークロードの ID を構成するために使用できる方法について概要を説明します。
ユーザー ID
Trusted Cloud のユーザー ID は、Workforce Identity 連携で構成できます。この方法では、外部 ID プロバイダ(IdP)を使用してユーザーを Trusted Cloud にログインさせ、 Trusted Cloud リソースとプロダクトにアクセスできるようにします。Workforce Identity 連携では、ユーザーは 1 つのアカウント(外部アカウント)のみを必要とします。このタイプのユーザー ID は、フェデレーション ID と呼ばれることもあります。
Workload Identity
Trusted Cloud では、ワークロードに次の種類の ID サービスが用意されています。
Workload Identity 連携を使用すると、IdP によって提供される ID を使用して、ワークロードがほとんどの Trusted Cloud サービスにアクセスできるようになります。Workload Identity 連携を使用するワークロードは、 Trusted Cloud、Google Kubernetes Engine(GKE)、または AWS、Azure、GitHub などの他のプラットフォームで実行できます。
Trusted Cloud サービス アカウントは、ワークロードの ID として機能します。ワークロードへのアクセス権を直接付与するのではなく、サービス アカウントにアクセス権を付与し、ワークロードでサービス アカウントを ID として使用します。
マネージド ワークロード ID(プレビュー)を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。マネージド ワークロード ID は、相互 TLS(mTLS)を使用してワークロード間の認証を行うことができますが、 Trusted Cloud APIs に対する認証には使用できません。
使用できる方法は、ワークロードが実行されている場所によって異なります。
Trusted Cloudでワークロードを実行している場合は、次の方法で Workload Identity を構成できます。
Workload Identity Federation for GKE: GKE クラスタと Kubernetes サービス アカウントに IAM アクセス権を付与します。これにより、クラスタのワークロードは、IAM サービス アカウントの権限を借用せずに、ほとんどの Trusted Cloud サービスに直接アクセスできます。
接続されたサービス アカウント: サービス アカウントをリソースのデフォルトの ID として機能するように、サービス アカウントをリソースに接続します。リソースで実行されるワークロードは、Trusted Cloud サービスにアクセスする際にサービス アカウントの ID を使用します。
有効期間の短いサービス アカウント認証情報: リソースがTrusted Cloud サービスにアクセスする必要があるときに、有効期間の短いサービス アカウント認証情報を生成して使用します。最も一般的なタイプの認証情報は、OAuth 2.0 アクセス トークンと OpenID Connect(OIDC)ID トークンです。
Trusted Cloudの外部でワークロードを実行している場合は、次の方法で Workload Identity を構成できます。
- Workload Identity 連携: 外部 ID プロバイダの認証情報を使用して有効期間の短い認証情報を生成します。ワークロードは、この認証情報を使用してサービス アカウントの権限を一時的に借用できます。これにより、ワークロードはサービス アカウントを ID としてTrusted Cloud リソースにアクセスできるようになります。
サービス アカウント キー: サービス アカウントの公開鍵 / 秘密鍵の RSA 鍵ペアの秘密鍵の部分を使用して、サービス アカウントとして認証します。
Workload Identity を設定する場合の詳細については、Workload Identity の概要をご覧ください。