Question#27(Professional Cloud Developer)
あなたのインフラストラクチャ チームは Terraform Cloud を使用しており、Terraform 構成ファイルを使用して Google Cloud リソースを管理しています。Google Cloud API に対して認証を行う Infrastructure as Code (IaC) パイプラインを構成したいと考えています。最も安全なアプローチを採用し、構成への変更を最小限に抑えたい場合、認証をどのように構成すべきですか?
正解:C
Google Cloud の現在のセキュリティ・ベストプラクティスでは、外部システムからの認証に**「サービス アカウント キー(JSONファイル)」を使用しないこと**を強く推奨しています。
なぜ C が正解なのか?
最も安全なアプローチ (Keyless 認証): ワークロード アイデンティティ フェデレーションを使用すると、短命(短時間で無効になる)のトークンを使用して認証を行います。これにより、サービス アカウント キーの漏洩、盗難、管理不足によるリスクを完全に排除できます。
構成変更の最小化: 既に Terraform Cloud を使用しているという前提があるため、認証の仕組みを WIF に切り替えるだけで済みます。A や B のように新しい実行基盤(GKE や VM)を構築・管理する必要はありません。
推奨プラクティス: Terraform Cloud は OIDC (OpenID Connect) をサポートしており、Google Cloud の WIF と直接連携できます。これは現在の IaC パイプラインにおける標準的な安全構成です。
コメント