Google Cloud Professional Cloud Security Engineer の模擬試験を解いた。その後、その解説を確認し、掘り下げを行った。

その内容について、以下にまとめていく。

サービスアカウントの鍵の管理

問題

あるクラウド開発チームが、ローカル開発環境内でサービス アカウントを幅広く使用する必要があります。このチームに、そうしたサービス アカウント用の鍵を提供する必要があります。Google が推奨する方法に沿って対応する場合、何をすべきですか？

回答

1. 毎日の鍵のローテーション プロセスを導入し、デベロッパーには、毎日新しい鍵をダウンロードできる Cloud Storage バケットを提供する。

解説

1. すべてのデベロッパーを含む Google グループを作成し、そのグループに、サービス アカウント管理者の IAM ロールを割り当て、デベロッパーには、各自で鍵を生成、ダウンロードしてもらう。

上記回答ではないかと思ったが、開発者にサービスアカウントの鍵の生成を委任することは情報漏洩の可能性があるため不適切。一元管理を行うことが望ましい。

Google Cloud Storage に鍵を定期生成し、その鍵へのアクセス権限を付与することによって開発者に鍵を提供することが望ましい。

サービスアカウントとは

仮想マシン上のワークロードや、オンプレのワークステーション及びデータセンタ上のワークロードから、 Google APIs にアクセスするためのもの。

「人間のライフサイクルには束縛されない」ワークロードであり、そのようなアカウントに付与される。人間のライフサイクルに束縛されるユーザアカウントと対照的である。

サービスアカウントをターゲットとしてユーザの権限を設定すると、ユーザはそのサービスアカウントを管理することができる。