MENU

会員登録（無料）

PCSE#4(access)

この問題のディスカッション

PCSE#4(access)

AWS EC2 上で稼働する CI システムから GCP の Artifact Registry に push したいです。鍵不要で実現する仕組みはどれですか。

A. AWS から SSH で踏み台に入り gcloud を実行する
B. GCP の Service Account Key を AWS Secrets Manager に保存する
C. Workload Identity Federation で AWS をプロバイダ登録する
D. Cloud Identity ユーザーを EC2 用に新規作成する

正解と解説ディスカッション 0

正解：C

正解の根拠

Workload Identity Federation により AWS の STS トークンを GCP が信頼し、Service Account を権限借用できます。鍵管理が不要です。

要素	役割
Workload Identity Pool	外部 ID の受け皿
AWS Provider	aws:arn を主体属性化
SA impersonation	GCP API 実行

不正解の理由

B: 鍵を保存する時点でリスクが残ります。
A: 踏み台経由は監査・自動化に不向きです。
D: ユーザー作成は人間 ID 用の運用です。

参考：WIF with AWS

コメント

コメント

コメントするコメントをキャンセル