CDLセキュリティと運用MEDIUM単一選択

ある企業が、Google CloudのGKEクラスターに対して「ワークロードアイデンティティ(Workload Identity)」を活用することを検討しています。その主なセキュリティメリットとして最も正確なものはどれですか?

  1. A. ワークロードアイデンティティはGKEクラスターのノードVMのOSレベルの認証を管理するサービスである
  2. B. ワークロードアイデンティティはGKEのPodがサービスアカウントキー(JSONファイル)を使用せずに、KubernetesのService AccountとGCPサービスアカウントを紐付けることでGoogle Cloud APIに安全にアクセスできるようにする仕組みである
  3. C. ワークロードアイデンティティはGKEクラスター間の通信を暗号化するmTLSサービスである
  4. D. ワークロードアイデンティティはネットワークポリシーを管理するKubernetesリソースである
解答と解説を見る

正解: B

従来はGKEのPodからCloud StorageやBigQuery等のGoogle Cloud APIにアクセスするためにサービスアカウントキー(JSON)をSecretとしてPodに配布する方法が一般的だったが、キーの漏洩リスクと管理負荷が問題だった。Workload Identityを使うと、KubernetesのService AccountとGCPサービスアカウントを紐付けることで、キーファイルなしにPodがGCPのAPIに安全にアクセスできる。キーの管理・ローテーションが不要になりセキュリティが向上する。OSレベル認証はOS Login。mTLSはService Mesh。ネットワークポリシーはNetworkPolicy。

📚 関連サービスの解説: Google Kubernetes Engine(GKE)
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題