<p>Google Cloudの利用に際してほぼ必須となる、サービスアカウントについての初心者向けの記事です。<br>
（2021年9月現在の記事です）</p>
<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
<p>Google Cloudのサービスアカウントとは、アプリケーションからGoogle Cloudにアクセスする際に用いられるアカウントで、その認証情報（メール<sup class="footnote-ref"><a href="#fn-0a3b-1" id="fnref-0a3b-1">[1]</a></sup>と鍵）を利用して各種Google CloudサービスのAPIが実行されます。<br>
具体的には、VM上やCloud Functionsから、そしてGitHub ActionsなどCI/CDを利用する際にも必要となります。<br>
ユーザーアカウントと同様に、Google Cloudコンソール上では<strong>IAMと管理</strong>の項目から<strong>サービスアカウント</strong>を選択し、一覧表示できます。<br>
また、サービスアカウントを一意に特定するために「メール」と呼ばれるアットマークを含んだ文字列が使われています。このメールの命名規則はやや複雑なのですが、ポイントを押さえるとある程度は「どの種類のサービスアカウントか」という推測が可能ではないかと思われます。<br>
ここでは各種サービスアカウントとそのメールについて、自分の理解を整理するために簡単にまとめました。</p>
<h1 id="%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E7%AE%A1%E7%90%86%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E7%AE%A1%E7%90%86%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88" aria-hidden="true"></a> ユーザー管理のサービスアカウント</h1>
<ul>
<li>ユーザー自身の責任で管理するアカウントです。</li>
<li>コンソールやgcloudコマンド(CLI)を利用して、最大100個まで作成できます。</li>
</ul>
<p>▼ (e.g.) Cloud FunctionsのHelloWorld関数で使用する想定のサービスアカウント</p>
<div class="code-block-container"><pre><code>hello-world@{project-id}.iam.gserviceaccount.com
</code></pre></div><h1 id="%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88" aria-hidden="true"></a> デフォルトサービスアカウント</h1>
<ul>
<li>GCE/GAE、またはそれらを利用するサービスを有効化する際に自動作成されるユーザーアカウントです。</li>
<li>自動で作成されますが、管理はユーザー自身になります。</li>
<li>デフォルトサービスアカウントには、プロジェクトに対して<strong>編集者権限</strong>が付与されており、セキュリティの観点からエンタープライズでは推奨されないようです。
<ul>
<li>これを防ぐために、組織ポリシーで　サービスアカウントの<a href="https://cloud.google.com/resource-manager/docs/organization-policy/restricting-service-accounts?hl=ja#disable_service_account_default_grants" target="_blank" rel="nofollow noopener noreferrer">使用制限</a>を設定することで、デフォルトのサービスアカウントへの自動的な編集者ロール<sup class="footnote-ref"><a href="#fn-0a3b-2" id="fnref-0a3b-2">[2]</a></sup>の付与を無効にできます。</li>
</ul>
</li>
</ul>
<p>▼ (e.g.) GAEデフォルトサービスアカウント</p>
<div class="code-block-container"><pre><code>{project-id}@appspot.gserviceaccount.com
</code></pre></div><p>▼ (e.g.) GCEデフォルトサービスアカウント</p>
<div class="code-block-container"><pre><code>{project-number}-compute@developer.gserviceaccount.com
</code></pre></div><h1 id="%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A8%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A8%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%B3%E3%83%88" aria-hidden="true"></a> サービスエージェント</h1>
<ul>
<li>旧 Google管理サービスアカウント</li>
<li>Google Cloudのサービス間で用いられるアカウントです。次のように、さらにいくつか種類があります。</li>
</ul>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>コンソールの <strong>サービスアカウント</strong>ページには表示されません。<br>
Google APIサービスエージェントは<strong>IAMと管理</strong>から<strong>IAMページ</strong>にて確認ができます。</p>
</div></aside>
<h2 id="google-api%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A8%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#google-api%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A8%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%B3%E3%83%88" aria-hidden="true"></a> Google APIサービスエージェント</h2>
<ul>
<li>Google内部の関連プロセスを実行します。</li>
<li>プロジェクトに対する編集者ロール（roles/editor）が自動的に付与されています。</li>
<li>こちらは編集権限を削除しないよう、取り扱いに注意が必要です。</li>
</ul>
<div class="code-block-container"><pre><code>{project-number}@cloudservices.gserviceaccount.com
</code></pre></div><h2 id="%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A8%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%B3%E3%83%88%E3%81%AE%E3%83%AD%E3%83%BC%E3%83%AB%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%A3%E3%83%BC">
<a class="header-anchor-link" href="#%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A8%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%B3%E3%83%88%E3%81%AE%E3%83%AD%E3%83%BC%E3%83%AB%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%A3%E3%83%BC" aria-hidden="true"></a> サービスエージェントのロールマネージャー</h2>
<ul>
<li>他のサービスエージェントのロールを管理するものです。</li>
<li>例えば、新しいAPIを利用した際にGoogle APIサービスエージェントにロールを付与するために用いられます。</li>
</ul>
<div class="code-block-container"><pre><code>service-agent-manager@system.gserviceaccount.com
</code></pre></div><aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>このロールマネージャーは監査ログにのみ表示されます。</p>
</div></aside>
<h2 id="%E3%81%9D%E3%81%AE%E4%BB%96%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A8%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#%E3%81%9D%E3%81%AE%E4%BB%96%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A8%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%B3%E3%83%88" aria-hidden="true"></a> その他のサービスエージェント</h2>
<ul>
<li>個々のサービスの代理として機能します。</li>
<li>これらのサービスエージェントのロールも削除しないよう注意する必要があります。</li>
<li>
<a href="https://cloud.google.com/iam/docs/service-agents" target="_blank" rel="nofollow noopener noreferrer">こちら</a>のページにサービスエージェントのリストがあります。</li>
</ul>
<div class="code-block-container"><pre><code>hoge@gcp-sa-{service_name}.iam.gserviceaccount.com
</code></pre></div><h1 id="google-%E7%AE%A1%E7%90%86%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#google-%E7%AE%A1%E7%90%86%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88" aria-hidden="true"></a> Google 管理のサービスアカウント</h1>
<ul>
<li>多くのGoogle Cloudサービスで使う、ユーザーに代わって処理をするときのロールです。</li>
<li>IAMのページでは「ロール」のカラムに「Cloud Build サービス アカウント」のように記載されておりわかりやすいです。</li>
</ul>
<p>▼ (e.g.) Cloud Buildサービスアカウント</p>
<div class="code-block-container"><pre><code>{project-number}@cloudbuild.gserviceaccount.com
</code></pre></div><h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
<p>独断的な主観ですが、それぞれのメールに注目してみると次のような順序で識別できそうです。</p>
<h2 id="1.-%E8%B1%A1%E5%BE%B4%E7%9A%84%E3%81%AA%E6%96%87%E5%AD%97%E5%88%97%E3%81%8C%E3%81%82%E3%82%8B%EF%BC%88%E5%88%A4%E6%96%AD%E3%81%97%E3%82%84%E3%81%99%E3%81%84%EF%BC%89%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#1.-%E8%B1%A1%E5%BE%B4%E7%9A%84%E3%81%AA%E6%96%87%E5%AD%97%E5%88%97%E3%81%8C%E3%81%82%E3%82%8B%EF%BC%88%E5%88%A4%E6%96%AD%E3%81%97%E3%82%84%E3%81%99%E3%81%84%EF%BC%89%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88" aria-hidden="true"></a> 1. 象徴的な文字列がある（判断しやすい）サービスアカウント</h2>
<p>{project-num}-<strong>compute</strong>@developer.gserviceaccount.com → GCEデフォルトサービスアカウント<br>
service-agent-<strong>manager</strong>@system.gserviceaccount.com　→　ロールマネージャー</p>
<h2 id="2.-%E3%83%A1%E3%83%BC%E3%83%AB%E3%81%AE%22%E3%82%B5%E3%83%96%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%22%E3%81%A7%E8%AD%98%E5%88%A5%E3%81%99%E3%81%B9%E3%81%8D%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#2.-%E3%83%A1%E3%83%BC%E3%83%AB%E3%81%AE%22%E3%82%B5%E3%83%96%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%22%E3%81%A7%E8%AD%98%E5%88%A5%E3%81%99%E3%81%B9%E3%81%8D%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88" aria-hidden="true"></a> 2. メールの"サブドメイン"で識別すべきサービスアカウント</h2>
<p>{project-id}@<strong>appspot</strong>.gserviceaccount.com → GAEデフォルトサービスアカウント<br>
hoge@<strong>{project-id}.iam</strong>.gserviceaccount.com　→ ユーザー管理のサービスアカウント<br>
hoge@<strong>gcp-sa-{service-name}.iam</strong>.gserviceaccount.com → その他のサービスエージェント<br>
{project-num}@<strong>cloudservices</strong>.gserviceaccount.com → Google APIサービスエージェント</p>
<h2 id="3.-%E4%B8%8A%E8%A8%98%E4%BB%A5%E5%A4%96%E3%81%AE%EF%BC%88%E5%88%A4%E6%96%AD%E3%81%99%E3%82%8B%E9%9B%A3%E6%98%93%E5%BA%A6%E3%81%8C%E9%AB%98%E3%81%84%EF%BC%89%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#3.-%E4%B8%8A%E8%A8%98%E4%BB%A5%E5%A4%96%E3%81%AE%EF%BC%88%E5%88%A4%E6%96%AD%E3%81%99%E3%82%8B%E9%9B%A3%E6%98%93%E5%BA%A6%E3%81%8C%E9%AB%98%E3%81%84%EF%BC%89%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88" aria-hidden="true"></a> 3. 上記以外の（判断する難易度が高い）サービスアカウント</h2>
<p>{project-num}@<strong>{service-name}</strong>.gserviceaccount.com →　Google管理のサービスアカウント</p>
<h1 id="%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> おわりに</h1>
<p>一般的には、最小権限の原則に基づき<strong>ユーザー管理のサービスアカウント</strong>を使用する場面が多いと思いますが、IAMの棚卸しやログの分析時などに知っておくと役立つかもしれません。</p>
<p>もし何か認識違い等あれば、また最新の仕様と異なる点があればご指摘下さい。🙇‍♂<br>
最後まで読んでいただき、ありがとうございました。</p>
<h1 id="%E5%8F%82%E8%80%83%E6%96%87%E7%8C%AE">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83%E6%96%87%E7%8C%AE" aria-hidden="true"></a> 参考文献</h1>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__bb302fb981e57" src="https://embed.zenn.studio/card#zenn-embedded__bb302fb981e57" data-content="https%3A%2F%2Fcloud.google.com%2Fiam%2Fdocs%2Fservice-accounts%3Fhl%3Dja" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://cloud.google.com/iam/docs/service-accounts?hl=ja" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://cloud.google.com/iam/docs/service-accounts?hl=ja</a><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__9c3920c7c9d9d" src="https://embed.zenn.studio/card#zenn-embedded__9c3920c7c9d9d" data-content="https%3A%2F%2Fmedium.com%2Fgoogle-cloud-jp%2Fgoogle-cloud-access-management-40963bea0dfc" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://medium.com/google-cloud-jp/google-cloud-access-management-40963bea0dfc" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://medium.com/google-cloud-jp/google-cloud-access-management-40963bea0dfc</a></p>
<section class="footnotes">
<span class="footnotes-title">脚注</span>
<ol class="footnotes-list">
<li id="fn-0a3b-1" class="footnote-item">
<p>Google Cloudを触り始めた頃はこの表現に非常に違和感がありましたが、Google Cloudコンソール上では一貫して「メール」と表記されており、本記事内でもメールと呼びたいと思います。なお、IAMの権限一覧ページだとカラム名は「プリンシパル」と表現されています。 <a href="#fnref-0a3b-1" class="footnote-backref">↩︎</a></p>
</li>
<li id="fn-0a3b-2" class="footnote-item">
<p>Google CloudにおけるロールはAWSとは異なり、権限の集合体という意味となります。 <a href="#fnref-0a3b-2" class="footnote-backref">↩︎</a></p>
</li>
</ol>
</section>


[備忘録] Google Cloudサービスアカウントの種類と見分け方

ユーザー管理のサービスアカウント

デフォルトサービスアカウント

サービスエージェントのロールマネージャー

その他のサービスエージェント

Google 管理のサービスアカウント

1. 象徴的な文字列がある（判断しやすい）サービスアカウント

2. メールの"サブドメイン"で識別すべきサービスアカウント

3. 上記以外の（判断する難易度が高い）サービスアカウント

Discussion