2.3. ワークロード ID フェデレーション設定の作成

手順

• 選択したモードに応じて、次のいずれかのコマンドを実行して WIF 設定を作成します。

  • auto モードで WIF 設定を作成するには、次のコマンドを実行します。

    $ ocm gcp create wif-config --name <wif_name> \ 

    1

    
      --project <gcp_project_id> \ 

    2

    
      --version <osd_version> 

    3

    
      --federated-project <gcp_project_id> 

    4

    1

    <wif_name> は、WIF 設定の名前に置き換えます。

    2

    <gcp_project_id> は、WIF 設定が実装される Google Cloud プロジェクトの ID に置き換えます。

    3

    オプション: <osd_version> は、wif-config のサポートが必要な OpenShift Dedicated バージョンに置き換えます。バージョンを指定しない場合、wif-config は最新の OpenShift Dedicated y-stream バージョンと、その直前のサポート対象の OpenShift Dedicated y-stream バージョン 3 つ (バージョン 4.17 以降) をサポートします。

    4

    オプション: <gcp_project_id> は、ワークロードアイデンティティープールとプロバイダーが作成および管理される専用プロジェクトの ID に置き換えます。--federated-project フラグが指定されていない場合、ワークロードアイデンティティープールとプロバイダーは、--project フラグで指定されたプロジェクト内で作成および管理されます。

    重要

    Google Cloud では、専用プロジェクトを使用してワークロードアイデンティティープールとプロバイダーを作成および管理することが推奨されています。専用プロジェクトを使用すると、ワークロードアイデンティティープールとプロバイダーの設定に対する一元的なガバナンスを確立し、すべてのプロジェクトとアプリケーションにわたって均一な属性マッピングと条件を適用し、許可されたアイデンティティープロバイダーだけが WIF で認証できるようにすることが可能です。

    専用プロジェクトでのワークロードアイデンティティープールとプロバイダーの作成と管理は、WIF 設定の初期作成時にのみ可能です。--federated-project フラグは既存の wif-configs には適用できません。

    詳細は、専用プロジェクトを使用したワークロードアイデンティティープールとプロバイダーの管理 を参照してください。

    出力例

    2024/09/26 13:05:41 Creating workload identity configuration...
    2024/09/26 13:05:47 Workload identity pool created with name 2e1kcps6jtgla8818vqs8tbjjls4oeub
    2024/09/26 13:05:47 workload identity provider created with name oidc
    2024/09/26 13:05:48 IAM service account osd-worker-oeub created
    2024/09/26 13:05:49 IAM service account osd-control-plane-oeub created
    2024/09/26 13:05:49 IAM service account openshift-gcp-ccm-oeub created
    2024/09/26 13:05:50 IAM service account openshift-gcp-pd-csi-driv-oeub created
    2024/09/26 13:05:50 IAM service account openshift-image-registry-oeub created
    2024/09/26 13:05:51 IAM service account openshift-machine-api-gcp-oeub created
    2024/09/26 13:05:51 IAM service account osd-deployer-oeub created
    2024/09/26 13:05:52 IAM service account cloud-credential-operator-oeub created
    2024/09/26 13:05:52 IAM service account openshift-cloud-network-c-oeub created
    2024/09/26 13:05:53 IAM service account openshift-ingress-gcp-oeub created
    2024/09/26 13:05:55 Role "osd_deployer_v4.19" updated

  • manual モードで WIF 設定を作成するには、次のコマンドを実行します。

    $ ocm gcp create wif-config --name <wif_name> \ 

    1

    
      --project <gcp_project_id> \ 

    2

    
      --mode=manual

    1

    <wif_name> は、WIF 設定の名前に置き換えます。

    2

    <gcp_project_id> は、WIF 設定が実装される Google Cloud プロジェクトの ID に置き換えます。

    WIF を設定すると、次のサービスアカウント、ロール、およびグループが作成されます。

    注記

    Red Hat カスタムロールは、OpenShift y-stream リリースごとにバージョン管理されます (例: 4.19)。

    Expand

    表2.1 WIF 設定のサービスアカウント、グループ、およびロール

    サービスアカウント/グループ	Google Cloud の事前定義ロールと Red Hat のカスタムロール
    osd-deployer	osd_deployer_v<y-stream-version>
    osd-control-plane	compute.instanceAdmin compute.networkAdmin compute.securityAdmin compute.storageAdmin
    osd-worker	compute.storageAdmin compute.viewer
    cloud-credential-operator-gcp-ro-creds	cloud_credential_operator_gcp_ro_creds_v<y-stream-version>
    openshift-cloud-network-config-controller-gcp	openshift_cloud_network_config_controller_gcp_v<y-stream-version>
    openshift-gcp-ccm	openshift_gcp_ccm_v<y-stream-version>
    openshift-gcp-pd-csi-driver-operator	compute.storageAdmin iam.serviceAccountUser resourcemanager.tagUser openshift_gcp_pd_csi_driver_operator_v<y-stream-version>
    openshift-image-registry-gcp	openshift_image_registry_gcs_v<y-stream-version>
    openshift-ingress-gcp	openshift_ingress_gcp_v<y-stream-version>
    openshift-machine-api-gcp	openshift_machine_api_gcp_v<y-stream-version>
    SRE グループ経由のアクセス: sd-sre-platform-gcp-access	sre_managed_support

    Show more

    WIF 設定ロールとそれらに割り当てられた権限の完全なリストについては、managed-cluster-config を参照してください。