あなたの会社では、Compute Engine インスタンスに SSH でアクセスする際に、デフォルトの SSH キーを使用せず、より安全な方法でアクセス管理をしたいと考えています。最も適切な方法はどれですか?
- A. IAP(Identity-Aware Proxy)TCP 転送を使用して SSH アクセスを IAM で制御する
- B. 各 VM に静的な SSH パブリックキーをメタデータに登録して管理する
- C. OS Login を有効にして Google アカウントの IAM で SSH アクセスを管理する
- D. VPN 経由でのみ SSH を許可するファイアウォールルールを設定する
解答と解説を見る
正解: C
OS Login を有効にすると、VM へのSSHアクセスが Google アカウントの IAM(roles/compute.osLogin または roles/compute.osAdminLogin)で管理されます。手動での SSH キー管理が不要になり、ユーザーが組織を離れた際もすぐにアクセスを無効化できます。2FA との統合も可能です。静的 SSH キーのメタデータ管理は鍵の配布・ローテーション・失効管理が煩雑です。VPN 経由の制限はネットワーク経路の制限であり、認証管理とは別の概念です。IAP TCP 転送(選択肢A)も安全なアクセス方法ですが、OS Login と組み合わせて使うことが一般的です。OS Login が IAM ベースの鍵管理として最も直接的な回答です。
📚 関連サービスの解説: Cloud IAM