マネージドワークロード ID の概要

マネージドワークロード ID 機能は、Identity and Access Management API の一部です。マネージドワークロード ID は、Certificate Authority Service からの X.509 証明書を自動的にプロビジョニングして管理することで、mTLS を簡素化します。

マネージドワークロード ID は、一意の SPIFFE ID を使用してワークロード間の通信を識別、認証、保護するためのフレームワークを提供する Secure Production Identity Framework For Everyone（SPIFFE）標準に基づいています。

このページでは、mTLS 認証用にマネージド ID をロードバランサに割り当てるコンテキストで、マネージドワークロード ID について説明します。他のワークロードのマネージドワークロード ID の詳細については、マネージドワークロード ID の概要をご覧ください。

SPIFFE ID

マネージド ID は SPIFFE ID で表されます。SPIFFE ID は、ワークロードを一意に識別する URI です。バックエンド mTLS の場合、ワークロードはロードバランサのバックエンドサービスです。形式は次のとおりです。

spiffe://TRUST_DOMAIN_NAME/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID

TRUST_DOMAIN_NAME は次のように展開されます。

WORKLOAD_IDENTITY_POOL_ID.global.PROJECT_NUMBER.workload.id.goog

まとめると、ロードバランサのバックエンドサービスリソースなどの Compute Engine ワークロードには、次のようにマネージド ID を設定できます。

spiffe://WORKLOAD_IDENTITY_POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID

以降のセクションでは、さまざまなマネージドワークロード ID リソースについて説明します。

マネージドワークロード ID のリソース階層

ロードバランサのマネージドワークロード ID を設定するには、次のリソースを作成する必要があります。これらのリソースについては、このドキュメントの以降のセクションで説明します。

Workload Identity プール
名前空間
マネージドワークロード ID
構成証明ポリシー

Workload Identity プール

マネージドワークロード ID は、信頼ドメインとして機能するワークロード ID プール内で定義されます。

信頼ドメインは、ワークロードが SPIFFE ID を使用して相互に認証と認可を行うことができる論理的なセキュリティ境界を表します。同じ信頼ドメイン内のすべてのワークロードは共通のルートオブトラストを共有するため、ワークロードは互いの ID を検証できます。

マネージド ID を使用するには、TRUST_DOMAIN モードで Workload Identity プールを構成する必要があります。プール内のすべての ID は、単一の名前空間と個々のワークロード識別子で構成されます。

次の図では、ロードバランサとバックエンドは同じ信頼ドメインの一部であり、同じルート証明書を共有しています。ルート証明書は、信頼チェーンを構築し、信頼ドメイン内のワークロードの ID を検証するために使用されます。

デフォルトでは、同じ信頼ドメイン内のワークロードは、マネージドワークロード ID を使用して相互に認証できます。異なる信頼ドメインにあるワークロードを相互に認証する場合は、Workload Identity プールで信頼関係を明示的に宣言する必要があります。これを行うには、他の信頼ドメインの証明書を認識して受け入れるインライン信頼構成を作成します。

マネージドワークロード ID リソース階層。 — マネージドワークロード ID リソース階層（クリックして拡大）。

名前空間

ワークロード ID プール内では、マネージドワークロード ID が名前空間と呼ばれる管理境界に編成されます。名前空間は、関連するワークロード ID を整理し、アクセス権を付与するのに役立ちます。