Google Cloud Platform Iam
Overview
GCPプロジェクトでのiamについてまとめているセクション。
サービスアカウントとは
サービスアカウントは人に対してアサインするアカウントではなくアプリケーションやCompute Engineインスタンスなどに使うアカウント。
tip
マネジメントコンソール以外にも Google Cloud CLI を用いたコードでの作成も可能
サービスアカウントができること
サービスアカウントはアプリケーションで使用される場合にはAPIの呼び出すための認証と認可を行っている。
具体的には、サービスアカウントを使用してトークンを発行し、そのトークンを用いてAPIにアクセスすることで、アプリケーションが必要な操作を実行できるようにする。
デフォルトサービスアカウント
デフォルトのサービスアカウントは、Google Cloud Platform (GCP)で特定のサービス(例:Compute Engine、App Engine)を有効にしたタイミングで、GCP が自動的に作成するサービスアカウント。
これは「そのサービスの動作に必要な認証情報を自動的に提供するため」に作られる。
tip
自動生成されるが、ユーザー管理下
Google の公式ドキュメントでも書かれているように
デフォルトのサービス アカウントは、ユーザー管理のサービス アカウントであり、管理責任がユーザーにある。 つまり自動生成されるけれど
- 削除/無効化 することができる
- ロール(権限)を適切に設定する 必要がある
- API などの手動認証に流用しない方が良い
という特徴がある。
caution
デフォルトのサービスアカウントを使用することは推奨されていない。