Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

10.2. Zero Trust Workload Identity Manager のリリースノート

Zero Trust Workload Identity Manager は、Secure Production Identity Framework for Everyone (SPIFFE) と SPIFFE Runtime Environment (SPIRE) を活用して、分散システム向けの包括的な Identity Management ソリューションを提供するものです。Zero Trust Workload Identity Manager は、オペランドとして動作する SPIRE バージョン 1.12.4 をサポートしています。

以下のリリースノートは、Zero Trust Workload Identity Manager の開発履歴を記録したものです。

重要

Zero Trust Workload Identity Manager はテクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

10.2.1. Zero Trust Workload Identity Manager 0.2.0 (テクノロジープレビュー)
リンクのコピー

発行日: 2025 年 9 月 8 日

Zero Trust Workload Identity Manager では、次のアドバイザリーが利用可能です。

Zero Trust Workload Identity Manager のこのリリースはテクノロジープレビューです。

10.2.1.1. 新機能および機能拡張
リンクのコピー

10.2.1.1.1. マネージド OIDC Discovery Provider ルートのサポート
リンクのコピー
  • Operator は、デフォルトのインストール設定が選択された場合、*.apps.<cluster_domain> ドメイン配下で、OpenShift ルートを介して SPIREOIDCDiscoveryProvider 仕様を公開します。
  • managedRoute および externalSecretRef フィールドが spireOidcDiscoveryProvider 仕様に追加されました。
  • managedRoute フィールドはブール値であり、デフォルトでは true に設定されています。false に設定すると、Operator がルートの管理を停止し、既存のルートが自動的に削除されません。true に戻すと、Operator がルートの管理を再開します。ルートが存在しない場合は、Operator が新しいルートを作成します。ルートがすでに存在する場合に競合が存在すると、Operator はユーザー設定をオーバーライドします。
  • externalSecretRef は、oidc-discovery-provider ルートホストの TLS 証明書を持つ外部管理の Secret を参照します。指定すると、ルートの .Spec.TLS.ExternalCertificate フィールドに値が設定されます。詳細は、外部管理証明書を使用したルートの作成 を参照してください。
10.2.1.1.2. SPIRE バンドルのカスタム認証局の Time-To-Live を有効にする
リンクのコピー

  • SPIRE Server 証明書管理用の SpireServer カスタムリソース定義 (CRD) API に、次の Time-To-Live (TTL) フィールドが追加されました。

    • CAValidity (デフォルト: 24h)
    • DefaultX509Validity (デフォルト: 1h)
    • DefaultJWTValidity (デフォルト: 5m)
  • サーバー設定で、デフォルト値をユーザーが設定可能なオプションに置き換えることができます。これにより、ユーザーは証明書と SPIFFE Verifiable Identity Document (SVID) の有効期間を、セキュリティー要件に基づいて柔軟にカスタマイズできます。
10.2.1.1.3. 手動ユーザー設定の有効化
リンクのコピー
  • Operator の API に ztwim.openshift.io/create-only=true アノテーションが存在すると、Operator コントローラーが create-only モードに切り替わります。これにより、更新をスキップしながらリソースを作成できます。ユーザーはリソースを手動で更新して設定をテストできます。このアノテーションは、SpireServerSpireAgentsSpiffeCSIDriverSpireOIDCDiscoveryProviderZeroTrustWorkloadIdentityManager などの API をサポートしています。
  • このアノテーションが適用されると、Operator によって作成および管理されるリソースを含むすべての派生リソースが一時停止します。
  • アノテーションが削除され、Pod が再起動すると、Operator は必要な状態に戻ろうとします。アノテーションは起動時または再起動時に 1 回だけ適用されます。

10.2.1.2. バグ修正
リンクのコピー

  • この更新前は、SpireServerSpireOidcDiscoveryProvider 両方の JwtIssuer フィールドが URL である必要がなかったため、設定でエラーが発生していました。このリリースでは、ユーザーは両方のカスタムリソースの JwtIssuer フィールドに発行者 URL を手動で入力する必要があります。(SPIRE-117)

10.2.2. Zero Trust Workload Identity Manager 0.1.0 (テクノロジープレビュー)
リンクのコピー

発行日: 2025 年 6 月 16 日

Zero Trust Workload Identity Manager では、次のアドバイザリーが利用可能です。

Zero Trust Workload Identity Manager のこの初回リリースは、テクノロジープレビューです。このバージョンには次の既知の制限があります。

  • SPIRE フェデレーションのサポートが有効ではありません。
  • キーマネージャーは disk ストレージタイプのみをサポートします。
  • テレメトリーは Prometheus を通じてのみサポートされます。
  • SPIRE Server または OpenID Connect (OIDC) ディスカバリープロバイダーの高可用性 (HA) 設定はサポートされていません。
  • 外部データストアはサポートされていません。このバージョンでは、SPIRE によってデプロイされる内部 sqlite データストアを使用します。
  • このバージョンは固定の設定を使用して動作します。ユーザー定義の設定は許可されません。
  • オペランドのログレベルは設定できません。デフォルト値は DEBUG です。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat