Google Cloud のサービスアカウントに関するベストプラクティスとして正しいものを 2 つ選択してください。
- A. 各サービスやコンポーネントに専用のサービスアカウントを作成し、必要最小限の権限のみを付与する
- B. アプリケーションに roles/owner を付与して、すべての操作を一つのサービスアカウントで実行する
- C. サービスアカウントキーを作成せず、Workload Identity や ADC(Application Default Credentials)を優先して使用する
- D. 複数のアプリケーションで同一のサービスアカウントを共用してキー管理を簡略化する
解答と解説を見る
正解: A, C
サービスアカウントキーを使用しない(Workload Identity・ADC を活用する)ことで、キーの漏洩リスクとローテーション管理の負担を排除できます(選択肢C)。また、コンポーネントごとに専用のサービスアカウントを作成して最小権限を付与すると、1 つのサービスアカウントが侵害されても他への影響を最小化できます(選択肢A)。roles/owner を付与するのは最小権限の原則に完全に反します(選択肢B)。複数アプリでのサービスアカウント共用はどのアプリがどのリソースにアクセスしているか追跡できなくなり、1 つのアプリの侵害が他のアプリにも影響します(選択肢D)。