(1)Workload Identity Federation

GCP Workload Identity Federation with Federated Tokens

• cloud based 서비스를 접근하는 application을 개발할때는 application 인증(authentication) 및 권한(authorization)을 생각해야된다.
• Okta를 통한 Workload Identity Federation과 Federated Tokens를 활용한 GCP에서 Context기반의 예제를 살펴보자

Authenticating Applications with GCP

• GCP서비스에 접근하는 application은 servcie account를 통해 인증 받아야함

• service account는 interactive authentication이 필요없는 종류의 identity

  <Service Account Name>@<Project ID>.iam.gserviceaccount.com

• GCP IAM Role과 privileges(권한)은 사용자ID에 할당되는 것 처럼 email참조을 통하여 Service Account에 할당가능
• 프로잭트내에서 생성되지만 다른 프로젝트의 IAM Role과 privileges를 가질 수 있음
• application이 service account id로 인증하면 sa로 엑세스 할 수 있는 모든 리소스에 접근가능
• GCE위에서 실행되는 app

Workload Identity Federaion

• https://cloud.google.com/iam/docs/workload-identity-federation?hl=ko
• https://cloud.google.com/iam/docs/workload-identity-federation-with-other-clouds#gcloud_2
• https://medium.com/google-cloud/gcp-workload-identity-federation-with-federated-tokens-d03b8bad0228