PCA#2(security)
外部のオンプレミス Kubernetes クラスタ上のワークロードから、サービスアカウントキーを使わずに Google Cloud の API を呼び出したい要件があります。長期キーの配布を避けつつ短命の認証情報で認可するために最適なソリューションはどれですか。
正解:D
正解の根拠
Workload Identity Federation は OIDC や SAML、AWS STS などのトークンを Google STS で短命のアクセストークンへ交換でき、サービスアカウントキーを完全に排除して鍵漏洩リスクを抑えます。外部 Kubernetes や AWS、Azure からの一貫した認可方式として推奨されます。
| 項目 | WIF | SA キー |
|---|---|---|
| 有効期間 | 短命 | 長期 |
| 鍵配布 | 不要 | 必要 |
不正解の理由
- A: 鍵自体の存在がリスクであり根本解決にはなりません。
- B: SSH 鍵は API 認証用ではありません。
- C: API キーはユーザー認証や IAM に対応しません。
コメント