Question#29(Professional Cloud Developer)

あなたは Python 3 の最新安定版を使用して、Cloud SQL データベースにデータを保存する API を開発しています。本番環境のデータベースに対して、CRUD 操作（作成・読み取り・更新・削除）を安全かつ確実に行い、かつ最小限の手間で実行する必要があります。あなたは何をすべきですか？

A. 1. Cloud Composer を使用して、Python アプリケーションから Cloud SQL データベースへの接続を管理する。 2. composer.worker 権限を含む IAM ロールをサービスアカウントに付与する。
B. 1. Cloud SQL API を使用して、Python アプリケーションから Cloud SQL データベースに接続する。 2. cloudsql.instances.login 権限を含む IAM ロールをサービスアカウントに付与する。
C. 1. Python 用の Cloud SQL コネクタライブラリを使用して、Cloud SQL Auth Proxy 経由で Cloud SQL データベースに接続する。
2. cloudsql.instances.connect 権限を含む IAM ロールをサービスアカウントに付与する。
D. 1. Cloud Shell から Cloud SQL エミュレータを使用して Cloud SQL データベースに接続する。 2. cloudsql.instances.login 権限を含む IAM ロールをユーザーに付与する。

正解：C

Google Cloud でデータベース接続の安全性を確保する際の「黄金律」は、Cloud SQL Auth Proxy または コネクタライブラリ を使用することです。

高度なセキュリティ: Cloud SQL Auth Proxy または Python 用の Cloud SQL Python Connector を使用すると、データベースのパスワードを直接管理（ハードコード）することなく、IAM（サービスアカウント）を使用して認証できます。通信は自動的に TLS で暗号化されます。
最小限の手間: コネクタライブラリを使用すると、証明書の管理やファイアウォールのホワイトリスト登録（IP 制限の設定）などの複雑なインフラ作業を省略でき、コード側で安全な接続を簡単に確立できます。
適切な権限: Cloud SQL への接続を確立するには、IAM ロールに cloudsql.instances.connect 権限が含まれている必要があります。

コメント