マネージド ワークロードのライフサイクル管理を構成する

このドキュメントでは、Certificate Manager(第 2 世代)を使用して、Compute Engine や Google Kubernetes Engine(GKE)などのマネージド ワークロードの証明書ライフサイクル管理を構成する方法について説明します。証明書発行の構成を使用してマネージド Workload Identity プールを Certificate Authority Service プールにリンクすることで、証明書の発行と更新を自動化できます。これにより、証明書の有効期限切れによるサービス停止を防ぐことができます。

始める前に

  1. アカウントにログインします。 Google Cloud を初めて使用する場合は、 アカウントを作成して、実際のシナリオで Google プロダクトのパフォーマンスを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.

必要なロール

ライフサイクル管理を構成するために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタム ロールや他の事前定義 ロールから取得することもできます。

マネージド ワークロードのライフサイクルを構成する

マネージド Workload Identity プールを構成して、関連するワークロードが既存の CA Service プールから証明書を受信して更新する方法を指定します。

  1. コンソールで、[Certificate Manager(第 2 世代)] ページに移動します。 Google Cloud

    Certificate Manager(第 2 世代)に移動

  2. ナビゲーション パネルで [ライフサイクルの管理] をクリックします。
  3. [マネージド Workload Identity] タブを選択します。
  4. 構成する Workload Identity プールを見つけて、 [ライフサイクル管理を構成] をクリックします。
  5. リージョン とそのリージョンのCA プール を選択します。
  6. [証明書の有効期間] フィールドに、発行する証明書の有効期間を指定します。値は 21 ~ 30 日にする必要があります。
  7. [ローテーション ウィンドウ] を 50 ~ 80 の値に設定します。これは、更新をトリガーする証明書の有効期間の割合です。
  8. [鍵アルゴリズム] フィールドで、秘密鍵の生成に使用する暗号化アルゴリズムを選択します。
  9. [更新] をクリックします。

次のステップ