マネージド ワークロード ID を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。 Trusted Cloud by S3NS では、Certificate Authority Service から発行された X.509 証明書がプロビジョニングされます。この証明書を使用することで、相互 TLS(mTLS)認証でワークロード間の認証を確実に行うことができます。
この相互運用性を実現するため、マネージド ワークロード ID は Secure Production Identity Framework For Everyone(SPIFFE)に準拠しています。この仕様では、ワークロード間の通信を識別して保護するためのフレームワークと一連の標準が定義されています。SPIFFE では、マネージド ワークロード ID は spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID の形式で表されます。
マネージド ワークロード ID は他のワークロードの認証に使用できますが、 Trusted Cloud by S3NS APIs の認証には使用できません。
リソース階層
マネージド ワークロード ID はワークロード ID プール内に定義されます。このプールは、プール内のすべての ID の信頼境界として機能します。ワークロード ID プールは、マネージド ワークロード ID の SPIFFE 識別子の信頼ドメイン コンポーネントを形成します。組織内の論理環境(開発、ステージング、本番環境など)ごとに新しいプールを作成することをおすすめします。
ワークロード ID プール内では、マネージド ワークロード ID が名前空間と呼ばれる管理境界に編成されます。名前空間は、関連するワークロード ID を整理し、アクセス権を付与するのに役立ちます。
マネージド ワークロード ID の認証情報をワークロードに発行するには、証明書ポリシーを使用して、ワークロードがマネージド ワークロード ID を使用できるようにする必要があります。ワークロード証明ポリシーを使用すると、検証可能なワークロードの属性(プロジェクト ID やリソース名など)に基づいてマネージド ワークロード ID の認証情報を発行できるワークロードを定義できます。ワークロード証明書ポリシーにより、信頼できるワークロードのみがマネージド ID を使用できるようになります。
ワークロードに接続されているサービス アカウントに基づいて、ワークロードがマネージド ワークロード ID を使用できるようにすることができます。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["必要な情報がない","missingTheInformationINeed","thumb-down"],["複雑すぎる / 手順が多すぎる","tooComplicatedTooManySteps","thumb-down"],["最新ではない","outOfDate","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["サンプル / コードに問題がある","samplesCodeIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-08-17 UTC。"],[[["\u003cp\u003eManaged workload identities bind strongly attested identities to Compute Engine workloads, enabling reliable authentication with other workloads via mutual TLS (mTLS).\u003c/p\u003e\n"],["\u003cp\u003eThese identities are provisioned with X.509 credentials from Certificate Authority Service and adhere to the Secure Production Identity Framework For Everyone (SPIFFE) standards.\u003c/p\u003e\n"],["\u003cp\u003eManaged workload identities cannot authenticate with Google Cloud APIs, but they are structured within workload identity pools, which establish trust boundaries for identities.\u003c/p\u003e\n"],["\u003cp\u003eWorkload attestation policies are required to ensure only trusted workloads can use a managed identity by defining which workloads can obtain credentials based on their verifiable attributes.\u003c/p\u003e\n"],["\u003cp\u003eNamespaces are used within a pool to organize workload identities and create administrative boundaries, to help grant access to related identities.\u003c/p\u003e\n"]]],[],null,[]]
