관리형 워크로드 ID를 사용하면 강력하게 증명된 ID를 Compute Engine 워크로드에 결합할 수 있습니다. Google Cloud 는 상호 TLS(mTLS) 인증을 통해 다른 워크로드와 함께 워크로드를 안정적으로 인증하는 데 사용할 수 있는 Certificate Authority Service에서 발급된 X.509 사용자 인증 정보를 프로비저닝합니다.
이러한 상호 운용성을 달성하기 위해 관리형 워크로드 아이덴티티는 워크로드 간 통신의 식별 및 보안을 위한 프레임워크와 표준 집합을 정의하는 Secure Production Identity Framework For Everyone(SPIFFE)을 기반으로 합니다. SPIFFE에서 관리형 워크로드 아이덴티티는 spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID 형식을 사용하여 표현됩니다.
관리형 워크로드 아이덴티티를 다른 워크로드 인증에 사용할 수 있지만 Google Cloud API 인증에 사용할 수 없습니다.
리소스 계층 구조
관리형 워크로드 아이덴티티는 풀 내의 모든 ID에 대한 트러스트 경계 역할을 하는 워크로드 아이덴티티 풀 내에서 정의됩니다. 워크로드 아이덴티티 풀은 관리형 워크로드 아이덴티티의 SPIFFE 식별자의 트러스트 도메인 구성요소를 형성합니다. 조직의 개발, 스테이징 또는 프로덕션과 같은 각 논리적 환경에 대해 새로운 풀을 만드는 것이 좋습니다.
워크로드 아이덴티티 풀 내에서 관리형 워크로드 아이덴티티는 namespaces라는 관리 경계로 구성됩니다. 네임스페이스를 사용하면 관련 워크로드 아이덴티티를 구성하고 액세스 권한을 부여할 수 있습니다.
워크로드에서 관리형 워크로드 아이덴티티의 사용자 인증 정보를 발급하려면 먼저 증명 정책을 사용하여 워크로드에서 관리형 워크로드 아이덴티티를 사용하도록 허용해야 합니다. 워크로드 증명 정책을 사용하면 프로젝트 ID 또는 리소스 이름과 같은 워크로드의 검증 가능한 속성을 기반으로 관리형 워크로드 아이덴티티에 대해 사용자 인증 정보를 발급할 수 있는 워크로드를 정의할 수 있습니다. 워크로드 증명 정책은 신뢰할 수 있는 워크로드만 관리형 ID를 사용할 수 있도록 합니다.
워크로드에 연결된 서비스 계정을 기반으로 워크로드에서 관리형 워크로드 아이덴티티를 사용하도록 승인할 수 있습니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-04-02(UTC)"],[[["Managed workload identities bind strongly attested identities to Compute Engine workloads, enabling reliable authentication with other workloads via mutual TLS (mTLS)."],["These identities are provisioned with X.509 credentials from Certificate Authority Service and adhere to the Secure Production Identity Framework For Everyone (SPIFFE) standards."],["Managed workload identities cannot authenticate with Google Cloud APIs, but they are structured within workload identity pools, which establish trust boundaries for identities."],["Workload attestation policies are required to ensure only trusted workloads can use a managed identity by defining which workloads can obtain credentials based on their verifiable attributes."],["Namespaces are used within a pool to organize workload identities and create administrative boundaries, to help grant access to related identities."]]],[]]
