Eureka Engineering
Published in

Eureka Engineering

MYベスト富士山2022

Google Cloudサービス アカウントをセキュアに管理するためのtips

サービス アカウントの種類

  • ユーザー自身の責任で管理するアカウントです。
  • サービス アカウントを識別するメールアドレスに次の形式で表示されます。
  • {service-account-name}@{project-id}.iam.gserviceaccount.com
  • App Engine/Compute Engine、またはそれらを利用するサービスを有効化する際に自動作成されるユーザーアカウントです。
  • 自動で作成されますが、管理はユーザー自身になります。
  • デフォルトのサービス アカウントが作成されると、プロジェクトに対する編集者ロール(roles/editor)が自動的に付与されますが、最小権限の原則に従い、自動的なロール付与を無効にすることが推奨されています。(参考
  • App Engineのデフォルトサービス アカウント → {project-id}@appspot.gserviceaccount.com
  • Compute Engineのデフォルトサービス アカウント → {project-number}-compute@developer.gserviceaccount.com
  • Google Cloudサービス内部で利用されるサービス アカウントです。
  • Google Cloud コンソールの [サービス アカウント] ページには、Google マネージド サービス アカウントは表示されません。
  • サービス アカウントに最大10個のサービス アカウント キーを作成することができます。
  • サービス アカウントのユーザー管理鍵ペアを作成し、各鍵ペアの秘密鍵を使用して Google API で認証できます
  • 作成し、ダウンロードしたサービス アカウント キーには有効期限がありません。
  • Google が管理する鍵ペアは、Service Account Credentials API や、Google Cloud サービス(App Engine や Compute Engine など)によって使用され、有効期間が短いサービス アカウント認証情報を生成します。
  • 自動的にローテーションされます。

サービス アカウントのベストプラクティス

引用: https://cloud.google.com/static/iam/img/how-to-use-service-accounts.svg?hl=ja

1. 未使用リソースを特定し、無効化する

1.1 サービス アカウント・サービス アカウント キーの使用状況を取得する

1.2 不要リソースの無効化

2.サービス アカウント キーからサービス アカウントへの移行

3. サービス アカウント キーのローテーションを行う

4. 定期的な棚卸を実施する

まとめ

--

--

Learn about Eureka’s engineering efforts, product developments and more.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store