Question#5(Professional Cloud DevOps Engineer)
あなたは Google Cloud 上でネイティブに CI/CD パイプラインを構成しています。プリプロダクション(本番前)の GKE 環境でのビルドが、本番環境へ昇格(プロモート)される前に、自動的に負荷テストが実施されるようにしたいと考えています。このテストに合格したビルドのみが本番環境にデプロイされるようにする必要があります。Google が推奨するプラクティスに従う場合、Binary Authorization を使用してこのパイプラインをどのように構成すべきですか?
正解:C
この問題のポイントは、**「自動化された CI/CD パイプライン」**において、いかに安全かつ Google の推奨する方法で認証(アテステーション)を行うかという点です。
1. なぜ C が正しいのか
-
自動化とセキュリティ: 本格的な CI/CD パイプラインでは、人間(エンジニア)がいちいち署名するのではなく、自動化されたプロセスがアテステーションを作成する必要があります。
-
Cloud KMS の利用: 署名に使用する秘密鍵は、安全なマネージドサービスである Cloud KMS で管理するのが標準です。
-
Workload Identity: これが最大のポイントです。GKE や Cloud Build などのワークロードが Google Cloud API(この場合は Cloud KMS)にアクセスする際、JSON キーなどの静的な認証情報を使わずに、短期間のみ有効なトークンを利用して安全に認証を行う手法として、Google が最も推奨(推奨プラクティス)している方法です。
コメント