MENU

会員登録（無料）

PCSE#3(access)

この問題のディスカッション

PCSE#3(access)

GKE 上で動くアプリケーションが Cloud Storage にアクセスする必要があります。鍵を発行せずに最も安全な方式はどれですか。

A. Service Account Key を Kubernetes Secret に保存して使用する
B. GCE メタデータの default service account を使う
C. Workload Identity を有効化し KSA と GSA を紐付ける
D. ユーザー個人の OAuth トークンを Pod に渡す

正解と解説ディスカッション 0

正解：C

正解の根拠

GKE Workload Identity を有効化すると、Kubernetes Service Account が Google Service Account を権限借用できるため、鍵ファイル不要で安全に GCP API にアクセスできます。

手順	内容
1	クラスタで WI を有効化
2	KSA に GSA を annotate
3	GSA に IAM ロールを付与

不正解の理由

A: SA キー保管は漏洩リスクが高いです。
B: ノード SA 共有では最小権限を満たせません。
D: 個人トークン利用は監査と信頼性に欠けます。

参考：GKE Workload Identity

コメント

コメント

コメントするコメントをキャンセル