---

gcp service accountについて

概要

• GCPのサービスアカウントとはGCPのサービスにアクセスする権限をもったユーザのような概念
  • サービスアカウントごとにパーミッションを設定できる

環境変数に追加して利用する場合

• サービスアカウントのキーは、Service Accountsのページの操作の鍵を作成から生成が可能である
• export GOOGLE_APPLICATION_CREDENTIALS="<path-to-credential-file>.json"
• サービスアカウントのクレデンシャルを作成することになるので、この方法にはセキュリティ上の懸念がある

ユーザに紐づくサービスアカウントのクレデンシャルを発行する

• $ gcloud auth application-default login
  • 期限付きの~/.config/gcloud/applicstion_default_credentials.jsonが得られる
• このファイルがある場合、自動的に使用される

メタデータを利用する場合

• GCPのcompute instances/cloud functionsなどにはサービスアカウントの割当が可能であり、何もしなくてもメタデータによる認証が自動的に行われる

Gapps, APIのサービスアカウントの権限

• Gapps, APIへのアクセス権限は明示的に与えなくても、なんの権限も付与していないサービスアカウントでアクセスできる