Google CloudはGKEのWorkload Identity Federationをアップデートし、Kubernetesワークロードのセキュリティ確保を容易にしました。以前は、ワークロードはKubernetesサービスアカウント(KSA)でGoogle Cloudサービスアカウントを偽装する必要がありました。これはセキュリティを向上させましたが、設定が難しかったのです。今回のアップデートにより、Google Cloud IAMポリシーはGKEワークロードとKubernetesサービスアカウントを直接参照できるようになり、設定が大幅に簡素化されます。さらに、このアップデートによりGoogle CloudのIAMプラットフォームとの統合が深まり、Kubernetes IDがGoogle Cloud IAM内で第一級のプリンシパルおよびプリンシパルセットの表現を持つようになります。つまり、Kubernetesワークロードの最小権限の推奨事項を確認し、IAMレコメンダー内でこれらの推奨事項をKubernetesプリンシパルに直接適用できるようになりました。また、新しい構成では、複数のIDの属性ベースの選択を可能にするprincipalSet表記法がサポートされています。その結果、単一のIAMポリシーで複数のGKEワークロードを参照できるようになりました。たとえば、Kubernetes名前空間に属するすべてのワークロードまたはポッド、あるいはKubernetesクラスタに属するすべてのワークロードまたはポッドを参照できます。ただし、いくつかの制限事項があります。これらのいずれかが当てはまる場合は、認証を実行するために以前のサービスアカウント偽装方法を使用し続ける必要があります。たとえば、少数のGoogle Cloudサービスは、Workload and Workforce Identity Federationプリンシパルをまだサポートしていません。同様に、VPC Service Controlsのイングレスおよびエグレスルールは、Workload Identity FederationプリンシパルおよびprincipalSetをサポートしていません。最後に、Cloud Runインスタンスを呼び出すための特定の権限は、Workload Identity FederationプリンシパルおよびprincipalSetをサポートしていません。