GCP KMS

[10sr]

https://qiita.com/sky0621/items/0077d7def70ef8308f62 https://www.asobou.co.jp/blog/web/gcp-kms

[10sr]

$ gcloud kms keys list --location global --keyring k8s-keyring

[10sr]

gcp compute engine から gcloud api へのアクセス権限の管理には、 access scope と、 service account の２つがある。

1. instance の設定でサービスアカウントに Compute Engine default service account を選んだ場合、別途アクセススコープの設定ができる
   • https://cloud.google.com/iam/docs/service-accounts?hl=ja#default
2. サービスアカウントに独自に作成したものを使用する場合、アクセススコープの設定はなくなり、 sa に設定されたロールのみで権限が決定する

[10sr]

compute engine instance 内から kms にアクセスするには、新規に sa を作って「クラスタ KSM 管理者」ロールを割り当て、それをインスタンスの sa に設定する。