WorkloadIdentity 리소스

WorkloadIdentity 리소스에 대한 정보

WorkloadIdentity 리소스는 워크로드에 발행할 수 있는 신원 자격 증명의 구조와 그것을 발행할 수 있는 워크로드에 대한 규칙을 정의하는 데 사용됩니다. Kubernetes 네임스페이스나 서비스 계정 이름과 같은 워크로드의 속성을 사용한 템플릿을 지원하며, 이를 통해 WorkloadIdentity 리소스를 여러 개별 워크로드에 범용적으로 사용할 수 있습니다. 구성 # kind: workload_identity version: v1 metadata: # WorkloadIdentity 리소스의 이름. 이 신원에 대한 자격 증명 발행을 # 직접 요청하는 데 사용할 수 있습니다. name: my-workload # 발행 요청 시 WorkloadIdentity 리소스를 그룹화하고 필터링하는 데 # 사용할 수 있는 키-값 레이블. labels: example: foo spec: # SPIFFE 호환 워크로드 신원 자격 증명 발행에 관련된 구성. spiffe: # 이 신원에 대해 발행되는 자격 증명에 포함될 SPIFFE ID의 # 경로 요소. # # 슬래시(`/`)로 시작해야 합니다. # # 필수. 템플릿을 지원합니다. id: /foo/bar/{{ join.kubernetes.pod.name }}/{{ join.kubernetes.service_account.name }} # hint 필드는 이 신원에 대해 발행된 자격 증명과 함께 워크로드에 # 문자열을 전달할 수 있게 합니다. 워크로드가 가질 수 있는 여러 # 신원을 구별하는 데 사용할 수 있습니다(예: `internal` vs `external`). # # 선택 사항. 템플릿을 지원합니다. hint: An example hint # X.509 자격 증명에 대한 그룹화된 구성. x509: # 이 WorkloadIdentity를 사용하여 발행된 X509-SVID에 포함되어야 할 # DNS 주체 대체 이름(SAN). # # 이 목록의 각 개별 요소는 템플릿을 지원하며, 템플릿 적용 후 # 유효한 DNS 이름이어야 합니다. # # 선택 사항. 제공되지 않으면 X.509 자격 증명에 DNS SAN이 # 포함되지 않습니다. dns_sans: - example.com # 이 신원을 사용하여 발행된 X509 워크로드 신원 자격 증명의 # 주체 식별 이름을 제어합니다. 지정하지 않으면 빈 주체가 # 사용됩니다. # # 대부분의 경우 URI SAN에 인코딩된 SPIFFE ID를 사용하는 것이 # 권장됩니다. 그러나 X.509에 맞게 설계되었지만 SPIFFE/WIMSE는 # 지원하지 않는 레거시 시스템을 지원하기 위해 Subject DN이 # 필요할 수 있습니다. subject_template: # 주체 식별 이름의 일반 이름(CN - 2.5.4.3). # 템플릿을 지원합니다. 제공되지 않으면 일반 이름이 생략됩니다. common_name: my-common-name # 주체 식별 이름의 조직(O - 2.5.4.10). # 템플릿을 지원합니다. 제공되지 않으면 조직이 생략됩니다. organization: