Question#25(Professional Cloud Developer)

あなたは、時間に敏感な情報を含む PDF ファイルをユーザーと共有するアプリケーションを設計しています。PDF ファイルは Cloud Storage に保存されています。ファイルへの安全なアクセスを提供する必要があります。

以下の要件があります：

アプリケーションの**すべてのユーザーが Google アカウントを持っているわけではありません。**データオブジェクトへのアクセスをどのように提供すべきですか？

A. 有効期限が 24 時間の署名付き URL（Signed URL）を生成するようにアプリケーションを構成する。署名付き URL をユーザーと共有する。ユーザーがアクセスを必要とする PDF ファイルに署名付き URL を添付する。
B. アプリケーションのサービスアカウントを借用（impersonate）するために、ユーザーに「サービスアカウントトークン作成者」IAM ロールを付与する。アプリケーションのサービスアカウントに Cloud Storage バケットにアクセスするための「Cloud Storage ユーザー」IAM ロールを割り当てる。アプリケーションのサービスアカウントキーを 24 時間ごとにローテーションする。
C. PDF ファイルへのアクセスを許可するサービスアカウントを生成する。サービスアカウントのキーファイルへのダウンロードリンクをユーザーに提供するようにアプリケーションを構成する。サービスアカウントキーに 24 時間の有効期限を設定する。サービスアカウントキーファイルを使用して認証するようにユーザーに指示する。
D. PDF ファイルへのアクセスをリクエストするユーザーに「Storage オブジェクトユーザー」IAM ロールを割り当てる。ロールに 24 時間後に期限切れになる IAM 条件を設定する。

正解：A

Google Cloud において、外部ユーザー（Google アカウントなし）に特定のオブジェクトへの限定的な操作権限を一時的に与えるための標準的な手段は 署名付き URL です。

Google アカウントが不要: 署名付き URL は、URL 自体に認証情報（署名）が含まれているため、受信者が Google アカウントを持っている必要はありません。
柔軟な権限設定: URL 生成時に、読み取り（GET）、書き込み（PUT）、削除（DELETE）など、特定の HTTP メソッドを指定して権限を絞り込めます。
有効期限の管理: 署名付き URL (V4) は、最長で 7 日間（168 時間）までの有効期限を設定できます。要件の「24 時間」に完全に対応可能です。
セキュリティ: 特定のファイル（オブジェクト）に対してのみ URL を発行するため、バケット全体のアクセス権を渡す必要がなく、安全です。

コメント