ある企業が、Google CloudのCompute Engineで稼働するアプリケーションにおいて、「サービスアカウントキー(JSON)の管理レスアクセス」を実現しようとしています。Compute Engine VMからCloud StorageやBigQueryに安全にアクセスするベストプラクティスとして最も正確なものはどれですか?
- A. VMに必要な権限を持つサービスアカウントを紐付け(アタッチ)ることで、VM上のアプリケーションはメタデータサーバー経由で自動的に認証情報を取得し、キーファイルなしにGoogle Cloud APIにアクセスできる
- B. サービスアカウントキーJSONファイルをVMのファイルシステムに保存し、環境変数で参照する
- C. Google Cloud APIへのアクセスにはサービスアカウントキーファイルが必ず必要であり、キーレスアクセスは不可能である
- D. すべてのVM共通の管理者サービスアカウントキーをCloud Storageに保存し、全VMが共有する
解答と解説を見る
正解: A
Compute EngineのVMにサービスアカウントをアタッチすると、VM上のアプリケーションはGoogle Cloud SDKやクライアントライブラリがメタデータサーバー(169.254.169.254)から自動的に認証情報(アクセストークン)を取得してAPIにアクセスできる。サービスアカウントキーJSONファイルのダウンロード・配布・管理が不要になり、キー漏洩リスクを根本的に排除できる。これがCompute Engine上のキーレス認証のベストプラクティス。ファイルシステムへのキー保存は漏洩リスクが高い。共有管理者キーは最小権限原則に反する。キーレスアクセスは技術的に完全に可能(推奨)。