1.2. Q3 2025

次の項目は、2025 年 3 番目の四半期に追加されています。

Workload Identity Federation (WIF) の権限とロールを更新しました。managed-cluster-config テンプレート内における WIF のデフォルトの IAM 権限が更新されました。つまり、新しく作成された WIF 設定にデフォルトで指定される権限が縮小され、過度な権限許可がなくなりました。
- sd-sre-platform-gcp-access@redhat.com プリンシパルでは、compute.firewalls.create 権限を必要としなくなりました。Red Hat SRE がこの権限を必要とする場合は、サポートケースを通じて連絡があります。
- osd-deployer サービスアカウントでは resourcemanager.projects.setIamPolicy 権限が不要になったため、この権限は削除されました。
- osd-deployer サービスアカウントは、iam.serviceAccounts.signBlob 権限を使用しなくなりました。これは iam.serviceAccountTokenCreator ロールに置き換えられ、このロールを必要とするサービスアカウントに割り当てられるようになりました。
- osd-deployer サービスアカウントは、iam.serviceAccounts.actAs 権限を使用しなくなりました。これは iam.serviceAccountUser ロールに置き換えられ、このロールを必要とするサービスアカウントに割り当てられるようになりました。

既存の wif-config インスタンスがある場合は、ocm gcp update wif-config コマンドを実行して、制限が強化された新しい権限を取得できます。詳細については、ワークロード ID フェデレーション設定の更新を参照してください。

Workload Identify Federation (WIF) が、OpenShift Dedicated on Google Cloud クラスターのデフォルト認証タイプになりました。最小権限の原則と Google Cloud の推奨認証方法に則り、Google Cloud で OpenShift Dedicated クラスターを作成する際のデフォルトの認証タイプが WIF になりました。WIF は、有効期間が短く、最小権限の認証情報を使用し、静的なサービスアカウントキーの必要性を排除することで、不正アクセスに対する OpenShift Dedicated クラスターの耐性を大幅に向上させます。詳細は、Workload Identity Federation 認証を使用して Google Cloud 上にクラスターを作成するを参照してください。
専用の Google Cloud プロジェクトで Workload アイデンティティープールとプロバイダーを管理するためのサポート。OpenShift Dedicated on Google Cloud では、WIF 設定の作成中に、指定された専用プロジェクトでワークロードアイデンティティープールとプロバイダーを作成および管理するオプションがサポートされるようになりました。Red Hat は、今後のリリースで既存の WIF 設定に対してこのオプションを提供することを計画しています。詳細については、ワークロード ID フェデレーション設定の作成を参照してください。

トップに戻る