10.3.2. Zero Trust Workload Identity Manager 0.2.0 (テクノロジープレビュー)

発行日: 2025 年 9 月 8 日

Zero Trust Workload Identity Manager では、次のアドバイザリーが利用可能です。

Zero Trust Workload Identity Manager のこのリリースはテクノロジープレビューです。

マネージド OIDC Discovery Provider ルートのサポート

Operator は、デフォルトのインストール設定が選択された場合、*.apps.<cluster_domain> ドメイン配下で、OpenShift ルートを介して SPIREOIDCDiscoveryProvider 仕様を公開します。
managedRoute および externalSecretRef フィールドが spireOidcDiscoveryProvider 仕様に追加されました。
managedRoute フィールドはブール値であり、デフォルトでは true に設定されています。false に設定すると、Operator がルートの管理を停止し、既存のルートが自動的に削除されません。true に戻すと、Operator がルートの管理を再開します。ルートが存在しない場合は、Operator が新しいルートを作成します。ルートがすでに存在する場合に競合が存在すると、Operator はユーザー設定をオーバーライドします。
externalSecretRef は、oidc-discovery-provider ルートホストの TLS 証明書を持つ外部管理の Secret を参照します。指定すると、ルートの .Spec.TLS.ExternalCertificate フィールドに値が設定されます。詳細は、外部管理証明書を使用したルートの作成を参照してください。

SPIRE バンドルのカスタム認証局の Time-To-Live を有効にする

SPIRE Server 証明書管理用の SpireServer カスタムリソース定義 (CRD) API に、次の Time-To-Live (TTL) フィールドが追加されました。
- CAValidity (デフォルト: 24h)
- DefaultX509Validity (デフォルト: 1h)
- DefaultJWTValidity (デフォルト: 5m)
サーバー設定で、デフォルト値をユーザーが設定可能なオプションに置き換えることができます。これにより、ユーザーは証明書と SPIFFE Verifiable Identity Document (SVID) の有効期間を、セキュリティー要件に基づいて柔軟にカスタマイズできます。

手動ユーザー設定の有効化

Operator の API に ztwim.openshift.io/create-only=true アノテーションが存在すると、Operator コントローラーが create-only モードに切り替わります。これにより、更新をスキップしながらリソースを作成できます。ユーザーはリソースを手動で更新して設定をテストできます。このアノテーションは、SpireServer、SpireAgents、SpiffeCSIDriver、SpireOIDCDiscoveryProvider、ZeroTrustWorkloadIdentityManager などの API をサポートしています。
このアノテーションが適用されると、Operator によって作成および管理されるリソースを含むすべての派生リソースが一時停止します。
アノテーションが削除され、Pod が再起動すると、Operator は必要な状態に戻ろうとします。アノテーションは起動時または再起動時に 1 回だけ適用されます。