サービスアカウントキーのローテーション

サービスアカウントキーは、サービスアカウントとして認証するための秘密鍵です。鍵のローテーションは、既存の鍵を新しい鍵に置き換えてから、置き換えた鍵を無効にするプロセスです。サービスアカウントキーを含む、管理するすべての鍵を定期的にローテーションすることをおすすめします。

サービスアカウントキーをローテーションすると、鍵の漏洩や盗難のリスクを低減できます。鍵が漏えいした場合、数日から数週間で不正な行為者が鍵を特定してしまう可能性があります。サービスアカウントキーを定期的にローテーションすれば、漏えいした鍵が不正な行為者の手に渡るまでに無効化されている可能性が高くなります。

サービスアカウントキーのローテーションプロセスを確立しておくと、サービスアカウントキーが不正使用された疑いがある場合にも迅速に対応できます。

注: サービスアカウントキーが正しく管理されていない場合は、セキュリティリスクが発生します。可能であれば、サービスアカウントキーよりも安全な代替手段を選択してください。サービスアカウントキーで認証する必要がある場合は、秘密鍵のセキュリティと、サービスアカウントキーを管理するためのベストプラクティスで説明されているその他の操作は、ユーザーの責任で実施してください。サービスアカウントキーを作成できない場合は、組織でサービスアカウントキーの作成が無効になっている可能性があります。詳細については、デフォルトで安全な組織リソースの管理をご覧ください。

鍵をローテーションする頻度

鍵の漏えいリスクを軽減するために、少なくとも 90 日ごとに鍵をローテーションすることをおすすめします。

サービスアカウントキーが侵害されたと思われる場合は、すぐにローテーションすることをおすすめします。

鍵のローテーションプロセス

サービスアカウントキーをローテーションするには、次のようにします。

ローテーションが必要なサービスアカウントキーを特定します。
同じサービスアカウントに新しい鍵を作成します。
すべてのアプリケーションで既存の鍵を新しい鍵に置き換えます。
置き換えた古い鍵を無効にします。アプリケーションを監視して、想定どおりに動作することを確認します。
置き換えた古いサービスアカウントキーを削除します。

これらの手順は、一元化されたシークレット管理サービスまたはカスタム通知システムを使用して行うことができます。

一元化されたシークレット管理サービス

HashiCorp Vault などの多くのシークレット管理シークレットサービスは、シークレットの自動ローテーションを提供しています。これらのサービスを使用して、サービスアカウントキーの保存とローテーションを行うことができます。

サービスアカウントキーの保存とローテーションに Google Cloud の Secret Manager を使用することはおすすめしません。Secret Manager のシークレットにアクセスするには、Google Cloud が認識可能な ID がアプリケーションで必要になるためです。アプリケーションに Google Cloud が認識可能な ID がすでに存在する場合、アプリケーションはサービスアカウントキーではなく、その ID を使用して Google Cloud の認証を行うことができます。

同じことが Azure KeyVault や AWS Secret Manager などの他のクラウドベースのシークレット管理サービスにも当てはまります。これらのクラウドプロバイダが認識可能な ID がアプリケーションにすでに存在する場合、サービスアカウントキーではなく、その ID を使用して Google Cloud の認証を行うことができます。

カスタム通知システム

サービスアカウントキーのローテーションでは、鍵のローテーションが必要な場合に通知を送信するシステムを作成する方法もあります。たとえば、90 日以上前に作成された鍵を検出するとアラートを送信するシステムを作成できます。

まず、ローテーションが必要な鍵を特定する必要があります。これらの鍵を特定するには、Cloud Asset Inventory を使用して、特定の時間より前に作成されたすべてのサービスアカウントキーを検索することをおすすめします。

たとえば、次のコマンドは、ID が 123456789012 の組織で 2023-03-10 00:00:00 UTC より前に作成されたすべてのサービスアカウントキーを一覧表示します。

gcloud asset search-all-resources \
    --scope="organizations/123456789012" \
    --query="createTime < 2023-03-10" \
    --asset-types="iam.googleapis.com/ServiceAccountKey" \
    --order-by="createTime"

Cloud Asset Inventory でリソースを検索する方法については、リソースの検索をご覧ください。ローテーションの必要がある鍵を特定したら、適切なチームに通知を送信できます。

鍵をローテーションするように通知を受けたら、次の操作を行います。

同じサービスアカウントに新しい鍵を作成します。
すべてのアプリケーションで既存の鍵を新しい鍵に置き換えます。
置き換えた古い鍵を無効にします。アプリケーションを監視して、期待どおりに動作することを確認します。
アプリケーションが期待どおりに動作していることを確認したら、置き換えた古い鍵を削除します。

有効期限付きのサービスアカウントキー

鍵のローテーションに有効期限付きのサービスアカウントキーを使用することはおすすめしません。有効期限付きの鍵の場合、適切にローテーションされないと停止する可能性があります。期限付きのサービスアカウントキーのユースケースについては、ユーザーが管理する鍵の有効期限をご覧ください。

次のステップ

Cloud Asset Inventory で、作成時間を使用してサービスアカウントキーなどのリソースを検索する。
サービスアカウントキーの作成、無効化、削除を行う。

サービス アカウント キーのローテーション