ある企業が、Google CloudのIAMにおける「サービスアカウント」の主な用途を検討しています。サービスアカウントの説明として最も正確なものはどれですか?
- A. サービスアカウントは組織のすべてのユーザーをまとめた共有アカウントであり、部門単位で1つ作成する
- B. サービスアカウントは外部向けのAPIエンドポイントであり、顧客がGoogle Cloudサービスにアクセスするために使用する
- C. サービスアカウントは人間のユーザーではなくアプリケーションや仮想マシンなどのサービスが使用するアイデンティティであり、Googleのサービスに対してAPI呼び出しを行う際の認証に使用する
- D. サービスアカウントはGoogleが提供する有料のマネージドサービスの一つであり、ユーザー認証基盤の構築に使用する
解答と解説を見る
正解: C
サービスアカウントはGoogleアカウント(人間)ではなく、アプリケーション(Compute Engine VM、Cloud Functions、GKEコンテナ等)が他のGoogleサービスにアクセスする際に使用する非人間型のアイデンティティ。例えばCloud StorageにアクセスするCompute Engine VMには、必要最小限の権限を持つサービスアカウントを紐付けることで安全なAPIアクセスを実現する。外部向けAPIエンドポイントではない。有料マネージドサービスではない(IAMの機能の一部)。全ユーザー共有の共有アカウントではなく、個々のアプリケーション・サービス単位に作成するのがベストプラクティス。