Google Professional Cloud デベロッパーのセキュリティとアイデンティティGoogle Professional Cloud Developer Security and Identity

A. https://www.googleapis.com/auth/drive.file スコープを使用する OAuth クライアント ID を使用して、各ユーザーのアクセス トークンを取得します。

Web アプリケーションからユーザーの Google ドライブにファイルを書き込むには、各ユーザーから Google ドライブ アカウントにアクセスする許可を取得する必要があります。これは通常、OAuth 2.0 を使用して行われ、ユーザーは同意画面にリダイレクトされ、指定されたスコープで Google ドライブにアクセスする許可をアプリケーションに付与します。

A. Use an OAuth Client ID that uses the https://www.googleapis.com/auth/drive.file scope to obtain an access token for each user.

To write a file to a user's Google Drive from a web application, you need to obtain permission from each user to access their Google Drive account. This is typically done using OAuth 2.0, where users are redirected to a consent screen where they grant your application permission to access their Google Drive with the specified scope.

正解は C です。アクセス ビューについて提案したリンクには、基になるデータセットへのアクセスを防止し、クエリの適用後にビュー内のデータへのアクセスのみを付与できることが明確に記載されています。

correct answer is C. In the link you proposed about access view is clearly stated that you can prevent access to the underlying dataset and give access only to data that is in the view after applying the query.

A が正解です。

A is Correct.

A すべてのユーザーを許可する必要があるため、ドメインにリンクしないようにする必要があります

A Because need to allow all users so not link to a domain

I would've chosen option B if all users are in the same domain, it allows the application to authenticate to the Google Drive API with domain-wide authority, meaning that it will be able to access all users' Google Drive accounts within the domain.これが必要なのは、アプリケーションが任意のユーザーの Google ドライブにファイルを書き込むことができる必要があるためです。

I would've chosen option B if all users are in the same domain, it allows the application to authenticate to the Google Drive API with domain-wide authority, meaning that it will be able to access all users' Google Drive accounts within the domain. This is necessary because the application needs to be able to write a file to any user's Google Drive.

Aが正しいです

A is correct

私にとっては A が正解です。
https://developers.google.com/drive/api/guides/about-auth: 「そのため、アプリに必要な特定の機能へのアクセスを制限するため、可能な場合は「推奨」スコープを使用します。ほとんどの場合、狭いアクセスを提供するということは、https://www.googleapis.com/auth/drive.file ファイルごとのアクセス スコープを使用することを意味します。」さらに、各ユーザーが自分のファイルにアクセスするにはトークンが必要です。

A is correct for me.
https://developers.google.com/drive/api/guides/about-auth: "So, when possible, use "recommended" scopes as they narrow access to specific functionality needed by an app. In most cases, providing narrow access means using the https://www.googleapis.com/auth/drive.file per-file access scope" plus each user need their token to acces their own files.

Aが正しいです

A is correct

オプションA

Option A

A は正解です。各ユーザーは、委任された広範なドメイン アクセスを許可するのではなく、独自のアクセス トークンを持つ必要があります。

A is correct because each user should have its own access token rather giving delegated wide domain access.

私の考えでは、A が最も適切な答えです。認証トークンはユーザーごとに要求する必要があります (したがって、ユーザーごとにアプリケーションによってトークンが要求され、ユーザーはアプリケーションを承認する必要があります)。

A is the most suitable answer in my opinion. Auth tokens should be requested per user (So for each user, a token is requested by the application and the user needs to authorise the application).

C. を付与する [メール 保護されています] サービス アカウントは、Cloud Storage バケットのロール/storage.objectCreator ロールです。 「403 Forbidden」エラーは通常、アクセス許可の問題を示します。 Google Cloud Function が別のプロジェクトのリソース（この場合はプロジェクト B の Cloud Storage バケット）にアクセスしようとすると、関連付けられたサービス アカウントを使用してアクセスします。デフォルトでは、このサービス アカウントは [メール 保護されています] ここで、PROJECT_ID は、Cloud Function が実行されているプロジェクト (プロジェクト A) の ID です。

C. Grant the [email protected] service account the roles/storage.objectCreator role for the Cloud Storage bucket. The error "403 Forbidden" typically indicates a permissions issue. When a Google Cloud Function tries to access a resource in another project (in this case, a Cloud Storage bucket in project B), it does so using its associated service account. By default, this service account is [email protected] where PROJECT_ID is the ID of the project where the Cloud Function is running (project A).

正解：C

Correct : C

C. を付与する [メール 保護されています] サービス アカウントは、Cloud Storage バケットのロール/storage.objectCreator ロールです。 プロジェクト A で実行されている Cloud Functions コードがプロジェクト B の Cloud Storage バケットに書き込むためには、コードの実行に使用されるサービス アカウントに適切な権限が付与されている必要があります。この場合、次の権限を付与する必要があります。 [メール 保護されています] サービス アカウントは、プロジェクト B の Cloud Storage バケットのロール/storage.objectCreator ロールです。これにより、コードがバケットにオブジェクトを書き込むことができるようになります。オプション A は、アクセス許可を付与する必要があるのはユーザー アカウントではなくサービス アカウントであるため、機能しません。

C. Grant the [email protected] service account the roles/storage.objectCreator role for the Cloud Storage bucket. In order for the Cloud Functions code running in project A to write to a Cloud Storage bucket in project B, the service account that is used to execute the code needs to be granted the appropriate permissions. In this case, you should grant the [email protected] service account the roles/storage.objectCreator role for the Cloud Storage bucket in project B. This will allow the code to write objects to the bucket. Option A would not work because it is the service account, not your user account, that needs to be granted permissions.

Cが正解です

C is correct

答えはCです

Answer is C

10/26 試験に登場

Appeared exam 26/10

https://cloud.google.com/functions/docs/troubleshooting:
「Cloud Functions サービスは、プロジェクトで管理アクションを実行するときに、Cloud Functions サービス エージェント サービス アカウント (service-<PROJECT_NUMBER>@gcf-admin-robot.iam.gserviceaccount.com) を使用します。デフォルトでは、このアカウントには Cloud Functions のcloudfunctions.serviceAgent ロールが割り当てられます。このロールは、Cloud Pub/Sub、IAM、Cloud Storage、Firebase の統合に必要です。このサービス アカウントのロールを変更している場合、デプロイは失敗します。」

答えはCです

https://cloud.google.com/functions/docs/troubleshooting:
"The Cloud Functions service uses the Cloud Functions Service Agent service account (service-<PROJECT_NUMBER>@gcf-admin-robot.iam.gserviceaccount.com) when performing administrative actions on your project. By default this account is assigned the Cloud Functions cloudfunctions.serviceAgent role. This role is required for Cloud Pub/Sub, IAM, Cloud Storage and Firebase integrations. If you have changed the role for this service account, deployment fails."

Answer is C

答えはCです。 [メール 保護されています] Google が管理する SA です。

Answer is C. [email protected] is a google-managed SA.

間違いなくC

defenitely C

ここには正しい答えはないようです...正しい答えは、ロール/storage.objectCreatorロールを持つターゲットバケットに、クラウド機能で使用されるサービスアカウントをメンバーとして追加することを許可する必要があります

Seems there is no correct answer here... The correct answer should be grant add service account used by cloud function as a member to target bucket with roles/storage.objectCreator role

Aが正しいと思います。

I think A is the correct one.

データ閲覧者の役割では、BigQuery データへの読み取り専用アクセスのみが許可されます。クエリを実行するために必要な権限は付与されません。したがって、データ編集者の役割を与える必要があります。したがって、ここでは B が正解です。

While Data Viewer role only allows read-only access to BigQuery data. It doesn't grant the necessary permissions to execute queries. So, need to give it Data Editor role. Hence, B is the correct answer here.

正解は A です。サービス アカウントに BigQuery データ閲覧者ロールと BigQuery ジョブ ユーザー ロールを付与します。

その理由は次のとおりです。

BigQuery データ閲覧者: このロールにより、サービス アカウントは BigQuery テーブルからデータを読み取ることができます。これは、BigQuery CLI が SQL クエリを実行するために必要です。
BigQuery ジョブ ユーザー: このロールにより、サービス アカウントは BigQuery でクエリとジョブを実行できます。これは、BigQuery CLI が SQL クエリを実行して結果を返すために不可欠です。

The correct answer is A. Grant the service account BigQuery Data Viewer and BigQuery Job User roles.

Here's why:

BigQuery Data Viewer: This role allows the service account to read data from BigQuery tables. This is necessary for the BigQuery CLI to execute the SQL queries.
BigQuery Job User: This role allows the service account to run queries and jobs in BigQuery. This is essential for the BigQuery CLI to execute the SQL queries and return results.

A. サービス アカウントに BigQuery データ閲覧者ロールと BigQuery ジョブ ユーザー ロールを付与します。

BigQuery CLI からの権限エラーは、クエリの実行に使用されるサービス アカウントに必要な権限がないことを示しています。これを解決するには、サービス アカウントに適切なロールがあることを確認する必要があります。

BigQuery データ閲覧者のロール: このロールにより、サービス アカウントは BigQuery のテーブルとビューからデータを読み取ることができます。サービス アカウントは、クエリが実行されているデータセットにアクセスして読み取る必要があります。

BigQuery ジョブ ユーザー ロール: このロールを使用すると、サービス アカウントは SQL クエリの実行に必要なクエリ ジョブなど、BigQuery でジョブを作成して実行できます。

A. Grant the service account BigQuery Data Viewer and BigQuery Job User roles.

The permission error from the BigQuery CLI suggests that the service account used to execute the queries does not have the necessary permissions. To resolve this, you need to ensure that the service account has the appropriate roles:

BigQuery Data Viewer role: This role allows the service account to read data from BigQuery tables and views. It's necessary for the service account to access and read the dataset against which the queries are being executed.

BigQuery Job User role: This role allows the service account to create and run jobs in BigQuery, including query jobs, which is necessary for executing SQL queries.

Aさんです。データを編集する必要はありません。

A is the one. No need to edit data is specified.

A が正解です。

A is correct.

正解はオプション A です。分析システムが BigQuery データセットに対してクエリを実行できるようにするには、サービス アカウントに BigQuery データ閲覧者ロールと BigQuery ジョブ ユーザー ロールを付与する必要があります。 BigQuery データ閲覧者ロールを使用すると、サービス アカウントはテーブルからデータを読み取ることができ、BigQuery ジョブ ユーザー ロールを使用すると、サービス アカウントはクエリの実行を含むジョブを実行できます。オプション B は、BigQuery データ編集者の役割によってサービス アカウントがテーブル内のデータを変更できるようになり、クエリを実行する必要がないため、適切な解決策ではありません。オプション C は、BigQuery でビューを作成し、CLI でビューから選択しても権限の問題は解決されないため、適切な解決策ではありません。オプション D は、新しいデータセットを作成してソース テーブルを新しいデータセットにコピーしても権限の問題は解決されないため、適切な解決策ではありません。

The correct answer is Option A. In order to allow the analytics system to execute queries against the BigQuery dataset, the service account must be granted the BigQuery Data Viewer and BigQuery Job User roles. The BigQuery Data Viewer role allows the service account to read data from tables, and the BigQuery Job User role allows the service account to run jobs, which includes executing queries. Option B is not a good solution because the BigQuery Data Editor role allows the service account to modify data in tables, which is not necessary to execute queries. Option C is not a good solution because creating a view in BigQuery and selecting from the view in the CLI will not resolve the permission issue. Option D is not a good solution because creating a new dataset and copying the source table to the new dataset will not resolve the permission issue.

Aが正しいです

A is correct

A 最小特権の原則としては正しいです

A it's correct for the principle of least privilege

ベスト プラクティスによれば、「ユーザーには最小限の特権、つまり操作の実行に必要なアクセス許可のみが与えられるべきです」 - オプション A が正解です。

According to the best practice - "User should have least privilege i.e. only those permissions which are required to perform an operation" - Option A is Correct.

最小特権の原則なので A が答えです

Principle of least privilege so A is the answer

回答Aのみ
https://cloud.google.com/bigquery/docs/access-control#bigquery
回答 B では、BigQuery データ エディタは必要ありません。

Ans A only
https://cloud.google.com/bigquery/docs/access-control#bigquery
In Ans B Bigquery Data Editor is not required.

最も安全なアプローチは B です。インスタンスのサービス アカウントのアプリケーションのデフォルト認証情報を使用して、必要なリソースに対して認証します。

その理由は次のとおりです。

アプリケーションのデフォルト認証情報 (ADC): ADC は、Google Cloud 上で実行されているアプリケーションが、インスタンスに関連付けられたサービス アカウントを使用して自動的に認証できるようにする Google Cloud の機能です。これにより、認証情報をインスタンスに直接保存する必要がなくなり、セキュリティ リスクが軽減されます。
手動による資格情報管理が不要: ADC は認証を自動的に処理するため、エラーが発生しやすく、セキュリティ上の脆弱性が発生する可能性がある資格情報を手動で管理する必要がなくなります。
キーのローテーション: Google Cloud はサービス アカウント キーを自動的にローテーションし、セキュリティをさらに強化します。

The most secure approach is B. Use the instance's service account Application Default Credentials to authenticate to the required resources.

Here's why:

Application Default Credentials (ADC): ADC is a Google Cloud feature that allows applications running on Google Cloud to automatically authenticate using the service account associated with the instance. This eliminates the need to store credentials directly on the instance, reducing security risks.
No Manual Credential Management: ADC handles authentication automatically, eliminating the need to manually manage credentials, which can be error-prone and introduce security vulnerabilities.
Key Rotation: Google Cloud automatically rotates service account keys, further enhancing security.

選択肢 B が正解です。このアプローチにより、資格情報が安全に管理され、必要なときにインスタンスに自動的に提供されます。

Option B is Correct: This approach ensures that the credentials are securely managed and automatically provided to the instances when needed.

このアプローチにより、資格情報が安全に管理され、必要に応じてインスタンスに自動的に提供されます。

This approach ensures that the credentials are securely managed and automatically provided to the instances when needed.

可能な限りアカウント サービス情報を含むファイルを保存しないことがベスト プラクティスであるため、B と回答します。コンピューティング エンジンでは、ロールがこのアカウント サービスに追加されている場合、VM のアカウント サービスを使用して Google API を呼び出すことができます。

Answer B because best practice is to not store file with account service information when possible. With compute engine, the account service of the vm can be used to call google api if the roles are added to this account service.

B. インスタンスのサービス アカウントのアプリケーションのデフォルト認証情報を使用して、必要なリソースに対する認証を行います。

インスタンスのサービス アカウントの使用 アプリケーションのデフォルト認証情報は、ホスト インスタンスに認証情報を配布するための最も安全な方法です。この方法を使用すると、認証情報をインスタンスに保存したり、ネットワーク経由で送信したりすることなく、インスタンスの組み込みサービス アカウントを使用して、インスタンスが必要なリソースで自動的に認証できるようになります。これにより、資格情報が侵害されたり漏洩したりするリスクが排除されます。さらに、この方法は、インスタンス上で認証情報を設定するための手動手順が必要ないため、最も便利です。

B. Use the instance's service account Application Default Credentials to authenticate to the required resources.

Using the instance's service account Application Default Credentials is the most secure method for distributing credentials to the host instances. This method allows the instance to automatically authenticate with the required resources using the instance's built-in service account, without requiring the credentials to be stored on the instance or transmitted over the network. This eliminates the risk of the credentials being compromised or exposed. Additionally, this method is the most convenient, as it requires no manual steps to set up the credentials on the instance.

Bが正しいと思います

I think B is correct

「これらの認証情報をホスト インスタンスにできるだけ安全に配布する」という部分も検討しています。

これはBに該当します。

I'm also considering this part -- "distribute these credentials to the host instances as securely as possible"

This falls under B.

答えはBです

https://cloud.google.com/docs/authentication/production#automatically

環境変数 GOOGLE_APPLICATION_CREDENTIALS が設定されていない場合、ADC はコードを実行しているリソースに関連付けられているサービス アカウントを使用します。

Answer is B

https://cloud.google.com/docs/authentication/production#automatically

If the environment variable GOOGLE_APPLICATION_CREDENTIALS isn't set, ADC uses the service account that is attached to the resource that is running your code.

「GCP に対して認証済み」は QN の重要な部分です

https://cloud.google.com/iam/docs/creating-managing-service-account-keys:
「他のプラットフォームやオンプレミスなど、Google Cloud の外部からサービス アカウントを使用するには、まずサービス アカウントの ID を確立する必要があります。」
"サービス アカウント キーは JSON または PKCS#12 (P12) 形式で作成できます。"

Cが答えです

"authenticated to GCP" is the key part of the qn

https://cloud.google.com/iam/docs/creating-managing-service-account-keys:
"To use a service account from outside of Google Cloud, such as on other platforms or on-premises, you must first establish the identity of the service account"
"You can create service account keys in JSON or PKCS#12 (P12) format. "

C is the answer

Cだけが正しく聞こえる

Only C sounds right

私はBに投票します。

I vote for B.

私ならBと一緒に行きます。

I would go with B.

オプション B は、プロジェクト A でサービス アカウントを作成し、それをプロジェクト B の Cloud Pub/Sub トピックにパブリッシャーとして追加する必要があるため、正解です。これにより、プロジェクト A の Compute Engine インスタンスは、サービス アカウントの認証情報を使用してプロジェクト B の Cloud Pub/Sub トピックに対して認証できるようになります。他のオプションには、プロジェクト A でのサービス アカウントの作成やプロジェクト B の Cloud Pub/Sub トピックへのサービス アカウントの追加が含まれないため、有効なソリューションではありません。

Option B is the correct answer because it involves creating a service account in project A and adding it as a publisher to the Cloud Pub/Sub topic in project B. This allows the Compute Engine instances in project A to authenticate to the Cloud Pub/Sub topic in project B using the service account's credentials. The other options do not involve creating a service account in project A or adding it as a publisher to the Cloud Pub/Sub topic in project B, so they are not valid solutions.

B が正しいです

B is correct

なぜDではないのですか？

why not D?

https://cloud.google.com/pubsub/docs/access-control:
「たとえば、クラウド プロジェクト A のサービス アカウントがクラウド プロジェクト B のトピックにメッセージをパブリッシュしたいとします。これは、クラウド プロジェクト B のサービス アカウントに編集権限を付与することで実現できます。」

Bが答えです

https://cloud.google.com/pubsub/docs/access-control:
"For example, suppose a service account in Cloud Project A wants to publish messages to a topic in Cloud Project B. You could accomplish this by granting the service account Edit permission in Cloud Project B"

B is the answer

Dさんに同意

Agree with D

https://cloud.google.com/functions/docs/securing/function-identity#individual から引用
「ユーザー管理のサービス アカウントを使用して関数をデプロイするには、デプロイヤは、デプロイされるサービス アカウントに対する iam.serviceAccounts.actAs 権限を持っている必要があります。」

Quoted from https://cloud.google.com/functions/docs/securing/function-identity#individual
"In order to deploy a function with a user-managed service account, the deployer must have the iam.serviceAccounts.actAs permission on the service account being deployed"

このアプローチでは、Cloud Function に必要な権限のみを提供するカスタム IAM ロールを持つサービス アカウントを作成できます。デプロイ担当者にアクセス トークンを取得する権限を付与することで、Cloud Function のデプロイと管理に必要な認証情報を確実に取得できるようになります。

This approach allows you to create a service account with a custom IAM role that provides only the necessary permissions required by your Cloud Function. By granting the deployer permission to get the access token, you ensure that they can obtain the necessary credentials to deploy and manage the Cloud Function.

Dが正解です

D is correct

ここでは D を選択するのが正しいはずです。
Google Cloud では、リソース（Cloud Function、VM など）は、他のリソースにアクセスしている間、常にサービス アカウントとして機能します。

D should be the correct choice here.
In Google Cloud, the resource(which can be a Cloud Function, a VM, etc.) always acts as a service account while accessing other resources.

https://cloud.google.com/blog/products/containers-kubernetes/introducing-workload-identity-better-authentication-for-your-gke-applications

Cloud IAM サービス アカウントは、アプリケーションが Google API にリクエストを行うために使用できる ID です。アプリケーション開発者は、アプリケーションごとに個別の IAM サービス アカウントを生成し、手動でローテーションする Kubernetes シークレットとしてキーをダウンロードして保存できます。このプロセスは面倒なだけでなく、サービス アカウント キーの有効期限は 10 年ごとに (または手動でローテーションするまで) のみです。侵害またはセキュリティ侵害の場合、キーが不明であるため、攻撃者が長時間アクセスできる可能性があります。この潜在的な盲点に加えて、キーのインベントリとローテーションの管理オーバーヘッドにより、サービス アカウント キーをシークレットとして使用することは、GKE ワークロードを認証するための理想的な方法とは言えません。

https://cloud.google.com/blog/products/containers-kubernetes/introducing-workload-identity-better-authentication-for-your-gke-applications

A Cloud IAM service account is an identity that an application can use to make requests to Google APIs. As an application developer, you could generate individual IAM service accounts for each application, and then download and store the keys as a Kubernetes secret that you manually rotate. Not only is this process burdensome, but service account keys only expire every 10 years (or until you manually rotate them). In the case of a breach or compromise, an unaccounted-for key could mean prolonged access for an attacker. This potential blind spot, plus the management overhead of key inventory and rotation, makes using service account keys as secrets a less than ideal method for authenticating GKE workloads.

K8s と Cloud SQL に関する公式ドキュメントや GCP ベスト プラクティスを最後まで読んだ人はいないと思います。 https://cloud.google.com/sql/docs/mysql/connect-kubernetes-engine#secrets

「データベース資格情報シークレットには、接続しているデータベース ユーザーの名前とユーザーのデータベース パスワードが含まれます。」

ここでの最良の答えは B です。K8s Secret を使用することは、Spanner 資格情報などの機密情報をクラスター内に構成して保存するための頼りになる方法です。

I assume that nobody read through the official docs and GCP Best practices for K8s and Cloud SQL. https://cloud.google.com/sql/docs/mysql/connect-kubernetes-engine#secrets

"A database credentials Secret includes the name of the database user you are connecting as, and the user's database password."

The best answer here is B, having K8s Secrets is the go-to method to configure and store sensitive information within a cluster such as Spanner credentials

回答 A. ワークロード ID:

ネイティブ GKE-IAM 統合
認証情報管理は必要ありません
自動回転
Google が推奨するアプローチ
最小限のコード変更

Answer A. Workload Identity:

Native GKE-IAM integration
No credential management needed
Automatic rotation
Google-recommended approach
Minimal code changes

問題は、Spanner の資格情報 (ユーザー名とパスワード) を取得することです。 Workload Identity は、GKE アプリが Spanner サービスに接続できるようにするものであり、DB にアクセスすることはできません。

The question is to retrieve Spanner credentials, i.e username and password. Workload Identity is to allow GKE app to connect to Spanner service, not to access the DB.

ここでの最良の答えは A. 適切なサービス アカウントを構成し、Workload Identity を使用してポッドを実行します。

その理由は次のとおりです。

Workload Identity: Workload Identity は、Kubernetes サービス アカウントが Google Cloud IAM サービス アカウントとして機能できるようにする Google Cloud の機能です。これは、ポッド内に資格情報を直接保存しなくても、ポッドが Spanner に対して認証できることを意味します。

The best answer here is A. Configure the appropriate service accounts, and use Workload Identity to run the pods.

Here's why:

Workload Identity: Workload Identity is a Google Cloud feature that allows Kubernetes service accounts to act as Google Cloud IAM service accounts. This means your pods can authenticate to Spanner without needing to store credentials directly within the pod.

オプション A は、Google Kubernetes Engine (GKE) で Spanner 認証情報を取得するようにマイクロサービス ベースのアプリケーションを安全に構成する場合に推奨されるアプローチです。

Option A is the recommended approach for securely configuring your microservice-based application to retrieve Spanner credentials on Google Kubernetes Engine (GKE)

このアプローチには、Spanner データベースにアクセスするために必要な権限を持つサービス アカウントを構成することが含まれます。 Workload Identity を使用すると、これらのサービス アカウントを Kubernetes Engine ポッドに関連付けることができ、Spanner 資格情報を自動的に認証して取得できるようになります。

This approach involves configuring service accounts with the necessary permissions to access the Spanner database. By using Workload Identity, you can associate these service accounts with your Kubernetes Engine pods, allowing them to authenticate and retrieve Spanner credentials automatically.

私はBを選びます
質問は、DB 信用情報を取得する方法に関するものです
https://cloud.google.com/sql/docs/mysql/connect-kubernetes-engine#secrets
Aはスパナの接続方法についてです

i go for B
question is about how to RETRIEVE db creds
https://cloud.google.com/sql/docs/mysql/connect-kubernetes-engine#secrets
A is about how to connect to spanner

A. 適切なサービス アカウントを構成し、Workload Identity を使用してポッドを実行します。

Workload Identity は、Kubernetes サービス アカウントを Google Cloud IAM サービス アカウントに関連付ける方法であり、ポッドが IAM ID を使用して Google Cloud サービスに対して認証できるようにします。これは、アプリケーションの認証情報をコードや Kubernetes Secrets に保存する必要がなく、アプリケーションの権限を Google Cloud IAM で管理できることを意味します。

クラウド IAM でサービス アカウントと Kubernetes サービス アカウントを作成し、Workload Identity を使用するようにそれらをマップする必要があります。
gcloud コマンド ラインを使用して、Kubernetes サービス アカウントを目的の IAM サービス アカウントにマッピングすることもできます。その後、アプリケーションで Kubernetes サービス アカウントを使用して Spanner に対する認証を行うことができ、Spanner はマップされた IAM サービス アカウントとして認証されます。

こうすることで、コード内に認証情報をハードコーディングする必要がなく、Google Cloud IAM を使用してアプリケーションの権限を簡単に管理できます。

A. Configure the appropriate service accounts, and use Workload Identity to run the pods.

Workload Identity is a way to associate Kubernetes service accounts with Google Cloud IAM service accounts, allowing your pods to authenticate to Google Cloud services using their IAM identity. This means that you don't have to store application credentials in your code or in Kubernetes Secrets, and you can manage the permissions of your application in Google Cloud IAM.

You would need to create service account in cloud IAM and a Kubernetes service account and then map them to use Workload Identity.
You can also use gcloud command line to map the Kubernetes service account to the desired IAM service account. Then in your application, you can use the Kubernetes service account to authenticate to Spanner, which will authenticate as the mapped IAM service account.

This way you don't have to hardcode credentials in your code, and you can easily manage the permissions of your application using Google Cloud IAM.

答えはAです
アプリケーションの資格情報を Kubernetes Secret として保存し、環境変数として公開します。

Answer is A
Store the application credentials as Kubernetes Secrets, and expose them as environment variables

Aが正しいと思います

I think A is correct

AとB、どちらも正しいです。現在、私のプロジェクトでは、ポッドが BigQuery にクエリできるようにするために A を使用しています。したがって、A と B はどちらも正しいようです。

A and B ,both are correct. Curently in my project we are using A for allowing pods to query Bigquery. So A and B both seems to be correct.

A と B -> 最適な選択肢を 2 つ選択する質問になります。

A and B -> It should be select 2 best options question.

この状況ではBの方が適切だと思います

I think B is more suitable in this situation

はい A がオプションです

Yes A is the option

私はAに投票します
https://cloud.google.com/kubernetes-engine/docs/concepts/workload-identity

I vote A
https://cloud.google.com/kubernetes-engine/docs/concepts/workload-identity

私の場合は C. リンク 1 では、Google がサービス アカウントの使用をどのように提案しているかを確認でき、リンク 2 では、実行者ロールが存在することがわかります。
リンク 1: https://cloud.google.com/functions/docs/securing#authentication リンク 2: https://cloud.google.com/functions/docs/reference/iam/roles#cloud-functions-roles

For me C. In link1 we can see how google suggests to use service accounts and in link2 we can see that the invoker role exists.
Link1: https://cloud.google.com/functions/docs/securing#authentication Link2: https://cloud.google.com/functions/docs/reference/iam/roles#cloud-functions-roles

ここでの最良の答えは C. Cloud Functions 呼び出し側ロールを持つサービス アカウントを作成するです。そのサービス アカウントを使用して関数を呼び出します。

その理由は次のとおりです。

Cloud Functions 呼び出し側ロール: このロールは、特に Cloud Functions を呼び出す権限を付与します。これは、このシナリオにとって最も詳細で適切なロールであり、サービス アカウントが Cloud Functions のみを呼び出すことができ、他は何も呼び出せないことが保証されます。
最小権限: Cloud Functions 起動者ロールの使用は、最小権限の原則に従い、必要な権限のみをサービス アカウントに付与します。これにより、不正なアクセスやアクションのリスクが最小限に抑えられます。
サービス アカウント認証: サービス アカウントは、マシン間の認証用に設計されています。これらは、Cloud Function に対して呼び出しサービスを認証するための安全で信頼性の高い方法を提供します。

The best answer here is C. Create a service account with the Cloud Functions Invoker role. Use that service account to invoke the function.

Here's why:

Cloud Functions Invoker Role: This role specifically grants the permission to invoke Cloud Functions. It's the most granular and appropriate role for this scenario, ensuring that the service account can only invoke Cloud Functions and nothing else.
Least Privilege: Using the Cloud Functions Invoker role adheres to the principle of least privilege, granting only the necessary permissions to the service account. This minimizes the risk of unauthorized access or actions.
Service Account Authentication: Service accounts are designed for machine-to-machine authentication. They provide a secure and reliable way to authenticate your calling service to the Cloud Function.

IAP は Cloud Functions では使用できないため、可能な唯一のオプションは C です

IAP is not available for Cloud Functions, so the only possible option is C

IAP は Cloud Functions では使用できないため、考えられる唯一の答えは C です

IAP is not available for Cloud Functions, so the only possible answer is C

1
機密データを処理する Cloud Function の呼び出しが承認されたサービスからのみ行われ、Google が推奨するベスト プラクティスに従うようにする最善の方法は、プロジェクトで Identity-Aware Proxy を有効にし、その権限を使用して関数へのアクセスを保護することです。

1
The best way to ensure that invocations of a Cloud Function that processes sensitive data can only happen from authorized services and follows Google-recommended best practices is to enable Identity-Aware Proxy in your project and secure function access using its permissions.

これはサービス間通信であるため、データ処理パイプラインでクラウド関数を呼び出したいサービスにクラウド関数呼び出し元の役割を提供する必要があります。

Since this is service to service communication, cloud function invoker role should be provided to the service that wants to invoke cloud function in the data processing pipeline.

最良のアプローチは、authn、authz、暗号化を組み合わせて使用​​することです。

1. IAP を有効にして、認証および許可されたユーザーまたはサービスのみが Cloud Function にアクセスできるようにします。
2.roles/cloudfunctions.invoker などの IAM ロールとポリシーを使用して適切なレベルのアクセス制御を設定し、承認されたサービスのみが Cloud Function を呼び出せるようにします。これは、呼び出し側関数のサービス アカウントを作成し、データ処理関数のサービス アカウントに適切な呼び出し側ロールを割り当て、呼び出し側関数でサービス アカウントの資格情報を使用することで実行できます。
3. Google が提供するライブラリやリソース（KMS や Cloud Storage など）を使用して、機密データを暗号化して保存します。
4. サービス アカウントの範囲を制限したり、Cloud IAP を使用してクラウド機能へのアクセスを保護したりするなど、セキュリティのベスト プラクティスを適用します。
5. 承認されたイベントによってのみ関数がトリガーされるようにするために、Cloud Event の使用を検討します。Cloud Event を使用すると、構成した特定のイベント タイプによってのみ関数が呼び出されるようにすることができます。

The best approach is to use a combination of authn, authz, and encryption

1. Enable IAP to ensure that only authenticated and authorized users or services can access Cloud Function
2. Set up an appropriate level of access control using IAM roles and policies, such as roles/cloudfunctions.invoker, to ensure that only authorized services can invoke your Cloud Function, This can be done by creating a service account for the calling function, assign the appropriate invoker role to the service account on the data processing function and use the service account credentials in the calling function
3. Use Google-provided libraries or resources, such as KMS or Cloud Storage, to encrypt and store sensitive data
4. Apply security best practices such as limiting the scope of the service account, and using Cloud IAP to protect access to your Cloud Function
5. consider using Cloud Event that ensure your function is triggered only by authorized events, you can use Cloud Event to ensure that your function is invoked only by specific event types that you have configured

Cが正解です

C is correct

答え C
https://medium.com/google-cloud/how-to-securely-invoke-a-cloud-function-from-google-kubernetes-engine-running-on-another-gcp-79797ec2b2c6

ANSWER C
https://medium.com/google-cloud/how-to-securely-invoke-a-cloud-function-from-google-kubernetes-engine-running-on-another-gcp-79797ec2b2c6

Dが正しいと思います

I think D is correct

私はオプションCで行きます。

I will go with option C.

C:
https://cloud.google.com/functions/docs/securing/authenticating#authenticating_function_to_function_calls

C :
https://cloud.google.com/functions/docs/securing/authenticating#authenticating_function_to_function_calls

Cに投票

Vote C

これはCだと思います

I believe this is C

同意しました…

以下リンク参照より
トークン自体は OAuth 2 フレームワークとその拡張機能である Open Identity Connect を使用して作成されますが、シーケンスは複雑でエラーが発生しやすいため、プロセスを管理するためにクラウド クライアント ライブラリを使用することを強くお勧めします。

Agreed D …

From link reference below
The tokens themselves are created using the OAuth 2 framework, and its extension, Open Identity Connect, but the sequence is complex and error-prone, and the use of Cloud Client Libraries to manage the process is highly recommended.

オプション D.
https://cloud.google.com/functions/docs/securing

Option D.
https://cloud.google.com/functions/docs/securing

おそらくオプション D が C よりも優れているでしょうか?

Probably Option D is better than C?

正解は D. OAuth クライアント ID を作成します。その理由は次のとおりです。

ユーザー認証用の OAuth 2.0: OAuth 2.0 は、委任された認証の標準プロトコルです。これにより、Web アプリケーションは、Google アカウントのパスワードを必要とせずに、ユーザーの Google ドライブ アカウントへの制限付きアクセスをリクエストできるようになります。
OAuth クライアント ID: OAuth 2.0 を使用するには、Google Cloud Console で OAuth クライアント ID を作成する必要があります。この ID はアプリケーションを表し、認証プロセス中にアプリケーションを識別するために使用されます。

The correct answer is D. Create an OAuth Client ID. Here's why:

OAuth 2.0 for User Authorization: OAuth 2.0 is the standard protocol for delegated authorization. It allows your web application to request limited access to a user's Google Drive account without requiring their Google account password.
OAuth Client ID: To use OAuth 2.0, you need to create an OAuth Client ID in the Google Cloud Console. This ID represents your application and is used to identify it during the authorization process.

OAuth 2.0 は、アプリケーションが Google ドライブなどの HTTP サービス上のユーザー アカウントに限定的にアクセスできるようにする承認フレームワークです。 OAuth 2.0 は、ユーザーから Google ドライブ アカウントにアクセスするための許可を取得するための安全で使いやすい方法を提供するため、JavaScript Web アプリケーションに推奨される認証アプローチです。

OAuth 2.0 is an authorization framework that enables applications to obtain limited access to user accounts on an HTTP service, such as Google Drive. OAuth 2.0 is the preferred authorization approach for JavaScript web applications because it provides a secure and user-friendly way to obtain permission from users to access their Google Drive accounts.

Oauth 2.1 フローが必要です。クライアント アプリには、Google ドライブ アプリケーションから生成されたクライアント ID と秘密キーが必要です。これにより、ユーザーは Google ドライブ アカウントにログインし、CRUD 操作を実行できるようになります。ここで最も優れている点は、クライアント アプリがユーザーの資格情報を認識せず、非常に安全であることです。アクセス トークンを取得する最も一般的な方法は、PKCE を使用した認証コード フローから取得する方法です。 PKCE (JS クライアント アプリであるため)。

We need to have Oauth 2.1 flow. The client app should have client id and secret key generated from Google drive application. This way the user can login to their google drive account and can perform CRUD operations. The best thing here is, the client app is not aware of the user credentials, and it is very secure. The most common way of getting access token is from authorization code flow with PKCE. PKCE, since it is a JS client app.

D. OAuth クライアント ID を作成します。

OAuth は、サードパーティのアプリケーションがユーザーの資格情報を処理することなく、ユーザーに代わってリソースにアクセスできるようにする承認フレームワークです。 Google ドライブの API を使用するには、アプリケーションはユーザーから Google ドライブへのアクセス許可を取得する必要があります。これを行うための最良の方法は、OAuth を使用することです。
OAuth 2.0 クライアント ID を作成し、それをアプリケーションに統合する必要があります。これにより、アプリケーションがユーザーを Google OAuth 2.0 サーバーにリダイレクトできるようになり、ユーザーはアプリケーションに Google ドライブへのアクセス許可を与えることができます。

D. Create an OAuth Client ID.

OAuth is an authorization framework that allows third-party applications to access resources on behalf of a user, without having to handle the user's credentials. To use Google Drive's API, your application needs to obtain permission from the user to access their Google Drive, and the best way to do this is through OAuth.
You would need to create an OAuth 2.0 client ID and integrate it into your application. This will allow your application to redirect users to the Google OAuth 2.0 server, where they can grant permission to your application to access their Google Drive.

Dが正解です

D is correct

はい！ Dです。

Yes! it's D.

正解 - D

Correct answer - D

オプション D
https://developers.google.com/drive/api/v3/about-auth

Option D
https://developers.google.com/drive/api/v3/about-auth

。グループを作成し、そのグループにユーザーを追加し、関連するロールをグループに割り当てて、関連する各プロジェクト ID をユーザーに提供します。

. Create groups, add the users to their groups, assign the relevant roles to the groups, and then provide the users with each relevant Project ID

これは、開発者が Google Cloud プロジェクトにアクセスできるようにする最も効率的かつ安全な方法です。グループを作成し、そのグループにロールを割り当てることで、ユーザー権限の管理に伴う管理オーバーヘッドを最小限に抑えることができます。開発者に、他のリソースへのアクセスを制限しながら、必要なプロジェクトへのアクセスを提供することもできます。

This is the most efficient and secure way to enable developer access to Google Cloud projects. By creating groups and assigning roles to the groups, you can minimize the administrative overhead of managing user permissions. You can also provide developers with access to the projects they need, while limiting their access to other resources.

私は C を選択します。IAM に関しては、ユーザーをグループに追加し、ロールをグループに割り当てることをお勧めします。プロジェクト ID は、よりユーザーフレンドリーな識別子であり、ほとんどのクラウド API とユーザー インターフェイスが顧客とやり取りするときに使用する ID です。

プロジェクト番号は内部実装の詳細であり、ほとんどの Google Cloud サービスがデータベースにデータを保存するために使用するキーです。ほとんどの API 呼び出しは、プロジェクトの詳細のクエリを実行するときに ID を暗黙的に番号に変換します。

I choose C. Adding users to a group and assigning the role to a group is a good practice as IAM is concerned. The project ID is the more user-friendly identifier and the one which most Cloud APIs and user interfaces use when interfacing with you, the customer.

The project number is an internal implementation detail and is the key that most Google Cloud services use for storing data in their databases; most API calls implicitly translate the ID to the number when performing queries for project details.

答えC

Answer C

オプションC

option C

Cに投票します

vote C

ベストプラクティスはグループを作成することです
プロジェクト ID とプロジェクト番号の間がわかりません

Best practice is to create a group
not sure between project ID and project number

BEが正しいです。

BE is correct.

私はBとEを選びます。それらはほぼ同じです。

I go with B and E. They are almost same.

Aは不正解です。これは機能する可能性がありますが、すべてのサービスが同じサービス アカウントを使用しており、アクセス許可が分離されておらず、詳細なログが記録されていません。
B と E は一緒に GKE と Google サービス アカウントを接続するため、GKE は Google サービス アカウントでサービスを認証できます。
Cは不正解です。これは実現可能ですが、サービス アカウントのキーのローテーションが必須であるため、Workload Identity に関して推奨される方法ではありません。
Dは不正解です。これは実現可能ですが、サービス アカウントのキーのローテーションが必須であるため、Workload Identity に関して推奨される方法ではありません。
E と B は一緒に GKE と Google サービス アカウントを接続するため、GKE は Google サービス アカウントでサービスを認証できます。

A is incorrect. While it could work, all the services are using the same service account, there is no separation of permissions, and no detailed logging.
B and E together connect GKE and Google service accounts, so GKE can authenticate a service with a Google service account.
C is incorrect. While this is feasible, it’s not the recommended practice for workload identity because of the mandatory key rotation of the service accounts.
D is incorrect. While this is feasible, it’s not the recommended practice for workload identity because of the mandatory key rotation of the service accounts.
E and B together connect GKE and Google service accounts, so GKE can authenticate a service with a Google service account.

https://cloud.google.com/kubernetes-engine/docs/tutorials/authenticating-to-cloud-platform#use_workload_identity
答えB

https://cloud.google.com/kubernetes-engine/docs/how-to/kubernetes-service-accounts
答え E

https://cloud.google.com/kubernetes-engine/docs/tutorials/authenticating-to-cloud-platform#use_workload_identity
Answer B

https://cloud.google.com/kubernetes-engine/docs/how-to/kubernetes-service-accounts
Answer E

AB が正しいです。

AB is correct.