マネージド ワークロード ID を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。 Google Cloud では、Certificate Authority Service から発行された X.509 証明書がプロビジョニングされます。この証明書を使用することで、相互 TLS(mTLS)認証でワークロード間の認証を確実に行うことができます。
この相互運用性を実現するため、マネージド ワークロード ID は Secure Production Identity Framework For Everyone(SPIFFE)に準拠しています。この仕様では、ワークロード間の通信を識別して保護するためのフレームワークと一連の標準が定義されています。SPIFFE では、マネージド ワークロード ID は spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID の形式で表されます。
マネージド ワークロード ID は他のワークロードの認証に使用できますが、 Google Cloud APIs の認証には使用できません。
リソース階層
マネージド ワークロード ID はワークロード ID プール内に定義されます。このプールは、プール内のすべての ID の信頼境界として機能します。ワークロード ID プールは、マネージド ワークロード ID の SPIFFE 識別子の信頼ドメイン コンポーネントを形成します。組織内の論理環境(開発、ステージング、本番環境など)ごとに新しいプールを作成することをおすすめします。
ワークロード ID プール内では、マネージド ワークロード ID が名前空間と呼ばれる管理境界に編成されます。名前空間は、関連するワークロード ID を整理し、アクセス権を付与するのに役立ちます。
マネージド ワークロード ID の認証情報をワークロードに発行するには、証明書ポリシーを使用して、ワークロードがマネージド ワークロード ID を使用できるようにする必要があります。ワークロード証明ポリシーを使用すると、検証可能なワークロードの属性(プロジェクト ID やリソース名など)に基づいてマネージド ワークロード ID の認証情報を発行できるワークロードを定義できます。ワークロード証明書ポリシーにより、信頼できるワークロードのみがマネージド ID を使用できるようになります。
ワークロードに接続されているサービス アカウントに基づいて、ワークロードがマネージド ワークロード ID を使用できるようにすることができます。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["わかりにくい","hardToUnderstand","thumb-down"],["情報またはサンプルコードが不正確","incorrectInformationOrSampleCode","thumb-down"],["必要な情報 / サンプルがない","missingTheInformationSamplesINeed","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-04-02 UTC。"],[[["Managed workload identities bind strongly attested identities to Compute Engine workloads, enabling reliable authentication with other workloads via mutual TLS (mTLS)."],["These identities are provisioned with X.509 credentials from Certificate Authority Service and adhere to the Secure Production Identity Framework For Everyone (SPIFFE) standards."],["Managed workload identities cannot authenticate with Google Cloud APIs, but they are structured within workload identity pools, which establish trust boundaries for identities."],["Workload attestation policies are required to ensure only trusted workloads can use a managed identity by defining which workloads can obtain credentials based on their verifiable attributes."],["Namespaces are used within a pool to organize workload identities and create administrative boundaries, to help grant access to related identities."]]],[]]
