Workload Identityとは何ですか？

アプリケーションやサービスに対してクラウドリソースへのアクセス権限を付与する仕組み。静的なAPIキーやシークレットの代わりに、ワークロード自体にIDを割り当てて短命トークンで認証する。

Workload Identityのポイントは？

アプリケーション（ワークロード）自体にクラウドリソースへのアクセス権限を紐づける。静的なAPIキーやシークレットの管理が不要になりセキュリティが向上する。GKE Workload Identity、AWS IAM Roles for Service Accounts（IRSA）などが代表例。短命トークンで認証するためキー漏洩のリスクを大幅に削減できる

【ワークロードアイデンティティ】

Workload Identity とは？

💡 パスワードを覚えなくても入れる、アプリ専用の身分証明書

📌 このページのポイント

アプリケーション（ワークロード）自体にクラウドリソースへのアクセス権限を紐づける
静的なAPIキーやシークレットの管理が不要になりセキュリティが向上する
GKE Workload Identity、AWS IAM Roles for Service Accounts（IRSA）などが代表例
短命トークンで認証するためキー漏洩のリスクを大幅に削減できる

Workload Identityのイメージ

ひよこ

KubernetesのPodからクラウドサービスを使いたいとき、APIキーを渡すの？

ペンギン先生

昔はそうしてたんだけど、APIキーをSecretに保存して管理するのは漏洩リスクがあるんだよ。Workload Identityを使えば、Podに直接クラウドのIAMロールを紐づけられるから、キーの管理自体が不要になるんだ

ひよこ

どうやってキーなしで認証できるの？

ペンギン先生

KubernetesのService Accountとクラウドのサービスアカウントを連携させるんだよ。Podが起動すると短命のトークンが自動発行されて、それでクラウドサービスにアクセスする。トークンは自動的にローテーションされるから安全なんだ

ひよこ

GCPとAWSで呼び方が違うの？

ペンギン先生

GCPではWorkload Identity、AWSではIAM Roles for Service Accounts（IRSA）やEKS Pod Identityと呼ばれるよ。Azureでもワークロードアイデンティティフェデレーションがあるんだ。名前は違うけど考え方は同じだよ

ひよこ

Kubernetes以外でも使えるのかな？

ペンギン先生

もちろんだよ。GitHub ActionsからAWSにデプロイするときにOIDC連携でキーレス認証したり、Terraformの実行環境にWorkload Identityを設定したりと、CI/CDパイプラインでも広く使われてるんだ。秘密情報を持たないというのがゼロトラストの基本だね

まとめ：ざっくりこれだけ覚えればOK！

「Workload Identity」って出てきたら「アプリに直接クラウド権限を渡す仕組み」と思えればだいたいOK！

📖 おまけ：英語の意味

「Workload Identity」＝ワークロードのID

💬 Workloadは「処理を担う実体」、Identityは「身元・ID」で、アプリ自体にIDを持たせるという考え方だよ

← 用語集にもどる