Google Cloud の ID 管理

Google Cloudを使用するには、ユーザーとワークロードにGoogle Cloud が認識できる ID が必要です。

このページでは、ユーザーとワークロードの ID を構成するために使用できる方法について概要を説明します。

ユーザー ID

Google Cloudがユーザー ID を認識できるように ID を構成するには、いくつかの方法があります。

  • Cloud Identity アカウントまたは Google Workspace アカウントを作成する: Cloud Identity アカウントまたは Google Workspace アカウントを持つユーザーは、 Google Cloud で認証を行い、 Google Cloud リソースの使用許可を得ることができます。Cloud Identity アカウントと Google Workspace アカウントは、組織で管理されるユーザー アカウントです。

  • 次のいずれかのフェデレーション ID 戦略を設定する:

    • Cloud Identity または Google Workspace を使用した連携: 外部 ID を対応する Cloud Identity アカウントまたは Google Workspace アカウントと同期して、ユーザーが外部認証情報を使用して Google サービスにログインできるようにします。この方法では、ユーザーは外部アカウントと、Cloud Identity アカウントまたは Google Workspace アカウントの 2 つのアカウントが必要になります。これらのアカウントの同期を維持するには、Google Cloud Directory Sync(GCDS)などのツールを使用します。
    • Workforce Identity 連携: 外部 ID プロバイダ(IdP)を使用してユーザーを Google Cloud にログインさせ、Google Cloud のリソースとプロダクトにアクセスできるようにします。Workforce Identity 連携では、ユーザーは 1 つのアカウント(外部アカウント)のみを必要とします。このタイプのユーザー ID は、フェデレーション ID と呼ばれることもあります。

ユーザー ID の設定方法の詳細については、ユーザー ID の概要をご覧ください。

Workload Identity

Google Cloud では、ワークロードに次の種類の ID サービスが用意されています。

  • Workload Identity 連携を使用すると、IdP によって提供される ID を使用して、ワークロードがほとんどの Google Cloud サービスにアクセスできるようになります。Workload Identity 連携を使用するワークロードは、 Google Cloud、Google Kubernetes Engine(GKE)、または AWS、Azure、GitHub などの他のプラットフォームで実行できます。

  • Google Cloud サービス アカウントは、ワークロードの ID として機能します。ワークロードへのアクセス権を直接付与するのではなく、サービス アカウントにアクセス権を付与し、ワークロードでサービス アカウントを ID として使用します。

  • マネージド ワークロード ID(プレビュー)を使用すると、厳密に証明された ID を Compute Engine ワークロードにバインドできます。マネージド ワークロード ID は、相互 TLS(mTLS)を使用してワークロード間の認証を行うことができますが、 Google Cloud APIs に対する認証には使用できません。

使用できる方法は、ワークロードが実行されている場所によって異なります。

Google Cloudでワークロードを実行している場合は、次の方法で Workload Identity を構成できます。

  • Workload Identity Federation for GKE: GKE クラスタと Kubernetes サービス アカウントに IAM アクセス権を付与します。これにより、クラスタのワークロードは、IAM サービス アカウントの権限を借用せずに、ほとんどの Google Cloud サービスに直接アクセスできます。

  • 接続されたサービス アカウント: サービス アカウントをリソースのデフォルトの ID として機能するように、サービス アカウントをリソースに接続します。リソースで実行されるワークロードは、Google Cloud サービスにアクセスする際にサービス アカウントの ID を使用します。

  • 有効期間の短いサービス アカウント認証情報: リソースがGoogle Cloud サービスにアクセスする必要があるときに、有効期間の短いサービス アカウント認証情報を生成して使用します。最も一般的なタイプの認証情報は、OAuth 2.0 アクセス トークンと OpenID Connect(OIDC)ID トークンです。

Google Cloudの外部でワークロードを実行している場合は、次の方法で Workload Identity を構成できます。

  • Workload Identity 連携: 外部 ID プロバイダの認証情報を使用して有効期間の短い認証情報を生成します。ワークロードは、この認証情報を使用してサービス アカウントの権限を一時的に借用できます。これにより、ワークロードはサービス アカウントを ID としてGoogle Cloud リソースにアクセスできるようになります。

  • サービス アカウント キー: サービス アカウントの公開鍵 / 秘密鍵の RSA 鍵ペアの秘密鍵の部分を使用して、サービス アカウントとして認証します。

Workload Identity を設定する場合の詳細については、Workload Identity の概要をご覧ください。