【TIPS】Google Cloudのサービスエージェントを自力で作成したい

 

Google Cloudで新しいAPIを有効化した際、背後で自動的に作成される「Google管理のサービスアカウント（サービスエージェント）」をご存知でしょうか？

Compute EngineやCloud Buildなど、多くのサービスは専用のアイデンティティを使用してリソースにアクセスします。通常、これらは「サービスを初めて利用した時」や「APIを有効化した時」に自動生成されます。

Compute Engineの場合

service-<プロジェクト番号>@compute-system.iam.gserviceaccount.com

service-<プロジェクト番号>@gcp-sa-cloudbuild.iam.gserviceaccount.com

先述の通り、サービスエージェントはGoogle Cloud側で自動生成されますが、それでは都合が悪いケースがあります。

 

例えば、VPC Service Controlsの境界を設定した環境で特定のサービスを使うとき、このサービスエージェントからの通信は例外的に許可するような許可ポリシーの設定が必要な場合があります。

通常の手順では、

①「サービスの初期利用」や「API有効化」

②作成されたサービスエージェントをVPC Service Controls境界に登録

という順番になります。

しかし、API有効化と同時にバックエンドで処理が動き出す」 ようなサービスの場合、2の登録が間に合わず、VPC SCの境界に阻まれてエラーが発生してしまいます。

また、IaC（Terraform等）でリソース管理をしている環境では、こうした「動かしてみないとアカウントが作成されない」という不確定要素が、リリース手順や依存関係の定義に悪影響を及ぼすことも考えられます。

 

解決策

以下の方法で、サービスエージェントを明示的に作成（プロビジョニング）することが可能です。

コマンドの場合

gcloud beta services identity create \
    --service=<関連するAPI> \
    --project=<プロジェクトID> # または --folder=<フォルダID> / --organization=<組織ID>

Terraformの場合

 data "google_project" "project" {}

resource "google_project_service_identity" "hc_sa" {
  provider = google-beta

  project = data.google_project.project.project_id
  service = "healthcare.googleapis.com"
} 

サービスによってはプロジェクト単位ではなく、上位階層のフォルダや組織レベルで動作するものもありますが、このコマンド（およびリソース）はそれらにも対応しています。