Question#43(Professional Cloud Developer)

同じ Google Cloud プロジェクト内で、3 つのチームが E コマースアプリケーションを開発しています。

3 つのチームにとって、セキュリティを最大化し、管理オーバーヘッドを最小限に抑える方法で API を公開するソリューションを提案する必要があります。どのように設計すべきですか？

A. チーム A はサービスアカウントを使用して API Gateway を承認する。チーム B と C はそれぞれサービスアカウントを作成し、そのキーをエクスポートして Secret Manager に保存する。そのキーを使って OAuth トークンを作成しアクセスする。
B. チーム A は Apigee hybrid を使用して API キーを作成し、チーム B と C に共有する。チーム B と C は API キーを Secret Manager に保存し、それを使用してアクセスする。
C. チーム A は API キーを使用して API Gateway を承認し、チーム B と C に共有する。チーム B と C は API キーを Secret Manager に保存し、それを使用してアクセスする。
D. チーム A はサービスアカウントを使用して API Gateway を承認する。チーム B と C はそれぞれ API へのアクセス権を持つサービスアカウントを作成する。チーム B と C は、自チームのサービスにアタッチされたサービスアカウントを使用して、API にアクセスする。

正解：D

Google Cloud におけるサービス間認証のベストプラクティスは、「サービスアカウントキー（JSON ファイル）」を発行せず、サービスに直接紐付いた ID（Identity）を利用することです。

セキュリティの最大化 (Keyless 認証): サービスアカウントを Cloud Run に直接アタッチ（割り当て）することで、コード内で「秘密鍵（Key ファイル）」を扱う必要がなくなります。これにより、キーの漏洩リスクが完全に排除されます。
管理オーバーヘッドの最小化: 鍵のローテーション、エクスポート、Secret Manager への保存といった「鍵管理」の手間が一切かかりません。Google Cloud のインフラが自動的に ID トークンを生成・管理します。
API Gateway の活用: チーム A が API Gateway を使用することで、誰が（どのサービスアカウントが）アクセスできるかを IAM ポリシーで一元管理できます。

コメント