Red Hat Summit2.7. ワークロード ID フェデレーション設定の更新
既存の Workload Identity Federation (WIF)設定を更新して、新しい OpenShift Dedicated y-stream バージョンをサポートし、最新のセキュリティーのベストプラクティスに合わせることができます。
WIF 設定の更新は、y-stream の更新にのみ適用されます。バージョンセマンティクスに関する詳細を含む更新プロセスの概要は、The Ultimate Guide to OpenShift Release and Upgrade Process for Cluster Administrators を参照してください。
WIF 対応の OpenShift Dedicated クラスターを新しいバージョンに更新する前に、wif-config もそのバージョンにアップグレードする必要があります。クラスターバージョンの更新を試みる前に wif-config バージョンをアップグレードしないと、クラスターバージョンのアップグレードが失敗します。
Red Hat が継続的に取り組んでいる最小権限の原則の一環として、WIF 設定において osd-deployer サービスアカウントに以前割り当てられていた特定の権限が削除されました。これらの変更により、サービスアカウントには機能を実行するために必要な権限のみが付与されるようになり、クラスターのセキュリティーが強化されます。
WIF 設定ロールとそれらに割り当てられた権限の完全なリストについては、managed-cluster-config を参照してください。
既存の WIF 設定をこれらの更新された権限に合わせるには、ocm gcp update wif-config コマンドを実行します。このコマンドは、最適な操作に必要な最新の権限とロールを含むように WIF 設定を更新します。
wif-config を更新するか、新しい wif-config を作成する場合は、OpenShift Cluster Manager CLI (ocm) が最新であることを確認してください。ocm を最新バージョンに更新しないと、エラーメッセージが表示され、サービスが中断される可能性があります。
出力例
Error: failed to create wif-config: failed to create wif-config: status is 400, identifier is '400', code is 'CLUSTERS-MGMT-400', at '2025-10-06T15:18:37Z' and operation identifier is 'f9551d63-a58a-4e3c-b847-5f99ba1b0b74': Client version is out of date for WIF operations. Please update from vOCM-CLI/1.0.7 to v1.0.8 and try again.
また、すでに WIF を使用している既存の OpenShift Dedicated クラスターを更新することもできます。そのためには、the- federated-project フラグを使用してワークロード ID プールおよびプロバイダーを管理する専用のプロジェクト を追加します。このベストプラクティスモデルでは、ワークロード ID プールとプロバイダーが専用の集中化された Google Cloud プロジェクトに分割されます。
the- federated-project フラグを使用して設定を更新すると、関連付けられたワークロード ID プールは、指定した新しいフェデレーションされたプロジェクトに移動します。一方、既存の IAM サービスアカウントとカスタムロールは、元のクラスターアソシエーションされたプロジェクトに残ります。
手順
ocmのバージョンを確認するには、次のコマンドを実行します。$ ocm version-
オプション:
ocmバージョンが最新でない場合は、OpenShift Cluster Manager の ダウンロード ページから、最新バージョンをダウンロードしてインストールします。 次のコマンドを実行し、wif-config を特定の OpenShift Dedicated バージョンに更新します。
ocm gcp update wif-config <wif_name> \1 --version <version>2 --federated-project <gcp_project_id>3 - 1
<wif_name>は、更新する WIF 設定の名前に置き換えます。- 2
- オプション:
<version>は、クラスターの更新先の OpenShift Dedicated y-stream バージョンに置き換えます。バージョンを指定しない場合、wif-config は最新の OpenShift Dedicated y-stream バージョンと、その直前のサポート対象の OpenShift Dedicated y-stream バージョン 3 つ (バージョン 4.17 以降) をサポートするように更新されます。 - 3
- オプション:
<gcp_project_id>は、ワークロードアイデンティティープールとプロバイダーが作成および管理される専用プロジェクトの ID に置き換えます。the-federated-projectフラグが指定されていない場合、ワークロード ID プールおよびプロバイダーはクラスターに関連付けられたプロジェクトに残ります。
次のステップ
osd-deployer サービスアカウントに以前割り当てられた古い権限セットは、wif-config を更新した後もアカウントに残ります。手動でロールにアクセスし、古い権限を削除する必要があります。
WIF 設定によって管理されるサービスアカウントからの古いデプロイパーミッションの削除と WIF 設定によって管理されているサービスアカウントからの古いサポートパーミッションの削除の手順に従い、これらの古いパーミッションを削除します。
さらに、the- federated-project フラグを使用してワークロード ID プールを新しい専用プロジェクトに移動した場合は、古いワークロード ID プールを元のクラスター関連付けられたプロジェクトから手動で削除できます。詳細は、Google Cloud ドキュメント の プールの削除 を参照し てください。
2.7.1. WIF 設定によって管理されるサービスアカウントから古いデプロイヤー権限を削除する
WIF 設定が管理するサービスアカウントから古いデプロイヤーパーミッションを削除するには、サービスアカウントをホストする Google Cloud プロジェクトにアクセスできるターミナルで以下のコマンドを実行します。
手順
既存のロール定義を取得し、
PROJECT_ID環境変数が Google Cloud プロジェクトを指していることを確認します。$ gcloud iam roles describe \ osd_deployer_v4.18 \ --project $PROJECT_ID \ --format=yaml > /tmp/role.yaml不要な権限を削除します。これを行うには、ロール定義ファイルから不要な権限を除外し、更新された定義を新しいファイルに保存します。
$ cat /tmp/role.yaml | \ grep -v "resourcemanager.projects.setIamPolicy" | \ grep -v "iam.serviceAccounts.signBlob" | \ grep -v "iam.serviceAccounts.actAs" > /tmp/updated_role.yaml元のロール定義と更新されたロール定義の間の出力の変更を確認し、不要な権限のみが削除されていることを確認します。
$ diff /tmp/role.yaml /tmp/updated_role.yaml更新されたロール定義ファイルを使用して Google Cloud のロールを更新し、
PROJECT_ID環境変数が Google Cloud プロジェクトを指していることを確認します。$ gcloud iam roles update \ osd_deployer_v4.18 \ --project=$PROJECT_ID \ --file=/tmp/updated_role.yaml
2.7.2. WIF 設定によって管理されるサービスアカウントから古いサポート権限を削除する
古くなったサポート権限を削除するには、サービスアカウントをホストしている Google Cloud プロジェクトへのアクセス権を持つターミナルで次のコマンドを実行します。
手順
既存のロール定義を取得し、
PROJECT_ID環境変数が Google Cloud プロジェクトを指していることを確認します。$ gcloud iam roles describe sre_managed_support --project $PROJECT_ID --format=yaml > /tmp/role.yaml不要な権限を削除します。これを行うには、ロール定義ファイルから不要な権限を除外し、更新された定義を新しいファイルに保存します。
$ cat /tmp/role.yaml | grep -v "compute.firewalls.create" > /tmp/updated_role.yaml元のロール定義と更新されたロール定義の間の出力の変更を確認し、不要な権限のみが削除されていることを確認します。
$ diff /tmp/role.yaml /tmp/updated_role.yaml更新されたロール定義ファイルを使用して Google Cloud のロールを更新し、
PROJECT_ID環境変数が Google Cloud プロジェクトを指していることを確認します。$ gcloud iam roles update sre_managed_support --project $PROJECT_ID --file=/tmp/updated_role.yaml
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}