Question#37(Professional Cloud Developer)

あなたは GKE にマイクロサービスアプリケーションをデプロイしています。1 つのマイクロサービスが Cloud Storage バケットからファイルをダウンロードする必要があります。バケットを含むプロジェクトに対して ストレージオブジェクト閲覧者（Storage Object Viewer） ロールを持つ IAM サービスアカウントが既に用意されています。Google 推奨のプラクティスに従って、アプリケーションがバケットにアクセスできるように構成するにはどうすればよいですか？

A. IAM サービスアカウントをクラスターのノードプールに割り当てる。アプリケーションデフォルト認証情報（ADC）を使用して、アプリケーションがバケットに対して認証を行うように構成する。
B. IAM サービスアカウントをクラスターのノードプールに割り当てる。対称ブロック暗号を使用して IAM サービスアカウントキーファイルを暗号化し、暗号化されたファイルを永続ボリューム（PV）に保存する。暗号化キーを Secret Manager に保存する。
C. Kubernetes サービスアカウントを作成する。base64 でエンコードされた IAM サービスアカウントキーファイルを含む Kubernetes Secret を作成する。Kubernetes Secret に Kubernetes サービスアカウントの注釈を付ける。バケットにアクセスする必要がある Pod に Kubernetes サービスアカウントを割り当てる。
D. Kubernetes サービスアカウントを作成する。IAM ポリシーを使用して、IAM サービスアカウントを Kubernetes サービスアカウントにバインドする。IAM サービスアカウントの名前を使用して Kubernetes サービスアカウントオブジェクトに注釈（アノテーション）を付ける。バケットにアクセスする必要がある Pod に Kubernetes サービスアカウントを割り当てる。

正解と解説ディスカッション 0

正解：D

GKE において Google Cloud リソースにアクセスするための現在のベストプラクティスは、Workload Identity（ワークロードアイデンティティ） を使用することです。

なぜ D が正解なのか？

最高レベルのセキュリティ (Keyless 認証): Workload Identity を使用すると、サービスアカウントキー（JSON ファイル）を作成・管理・保存する必要が完全になくなります。キーの漏洩リスクを排除できるため、Google が最も推奨している方法です。
最小権限の原則: ノード全体（ノードプール）に権限を与えるのではなく、特定の Pod（Kubernetes サービスアカウント）に対してのみ権限を紐付けることができます。
具体的な手順: * Kubernetes 側のサービスアカウント（KSA）を作成。
- Google Cloud 側のサービスアカウント（GSA）と KSA を IAM ポリシーで紐付け（バインド）。
- KSA に「私はこの GSA として振る舞います」という注釈（Annotation）を追加。
- これにより、Pod は透過的に Cloud Storage へのアクセス権を得られます。

Question#37(Professional Cloud Developer)

なぜ D が正解なのか？

コメント

コメント

コメントするコメントをキャンセル

なぜ D が正解なのか？

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル