https://cloud.google.com/iam/docs/サービスアカウントキーの管理に関するベストプラクティス
サービス アカウント キーの不要な使用を防ぐには、組織のポリシー制約を使用します。
組織のリソース階層のルートで、「サービス アカウント キーの作成を無効にする」および「サービス アカウント キーのアップロードを無効にする」制約を適用して、サービス アカウント キーが許可されないデフォルトを設定します。
必要に応じて、選択したプロジェクトの制約の 1 つをオーバーライドして、サービス アカウント キーの作成またはアップロードを再度有効にします。

問題を解決するには、脆弱性スキャンに合格し、企業ポリシーを満たしているイメージだけが GKE にデプロイされるようにする必要があります。このプロセスは自動化され、既存の CI/CD パイプラインに統合されています。 Binary Authorization: この Google Cloud サービスは、Google Kubernetes Engine (GKE)、Cloud Run、その他のデプロイ可能なプラットフォームでイメージを実行する前に、イメージにデプロイ ポリシーを適用するために特別に構築されています。ポリシーに準拠していないイメージのデプロイを防ぐポリシー ゲートとして機能します。 抜粋リファレンス: 「Binary Authorization は、信頼できるコンテナ イメージだけが Google Kubernetes Engine (GKE)、Cloud Run、Anthos クラスタにデプロイされるようにする、デプロイ時のセキュリティ制御です」および「Binary Authorization を使用すると、信頼できる機関によるイメージの署名を要求し、デプロイ中に検証ポリシーを適用できます」(Google Cloud ドキュメント: 「Binary Authorization の概要」 - https://cloudgooglecom/binary-authorization/docs/overview) Artifact Analysis (Container Analysis の一部): Artifact Analysis (Container Analysis を含む) は、Artifact Registry に保存されているコンテナ イメージの脆弱性スキャン機能を提供します。脆弱性に関する検出結果とメタデータを生成します。 抜粋リファレンス: Container Analysis は、イメージをスキャンして既知の脆弱性を検出し、そのメタデータを提供するサービスです。(Google Cloud ドキュメント: 「概要 | Container Analysis」 - https://cloudgooglecom/container-analysis/docs/overview) Binary Authorization は、Artifact Analysis (またはその他の認証者) と統合して、デプロイ ポリシーの一部として脆弱性スキャンの結果を確認するように構成できます。統合と自動化: Binary Authorization ポリシーでは、デプロイ前に認証を要求することができます。認証は、イメージが特定の基準を満たしていることを確認します (例: 脆弱性スキャンに合格した、承認された CI/CD プロセスによって署名されている、企業ポリシーに準拠している)。Cloud Build は、脆弱性スキャンが成功した後にこれらの認証を生成するように構成できます (Artifact Analysis を使用)。これにより、プロセスが完全に自動化され、CI/CD パイプラインに直接統合されます。抜粋参照: Binary Authorization では、要件を適用するポリシーを作成します。ポリシーでは、デプロイを管理するルールを定義します。たとえば、ポリシーでは、デプロイ前にすべてのイメージが信頼できる認証局によって署名されていることを要求できます。(Google Cloud ドキュメント: 「Binary Authorization他のオプションを評価してみましょう。
A Cloud Build のカスタム スクリプト ビルドを失敗させる: ビルド中にスキャンを実行するのは良い方法ですが (シフトレフト セキュリティ)、ビルドを失敗させるとイメージがプッシュされなくなるだけです。開発者や自動プロセスが Artifact Registry に既に存在する可能性のある古いイメージや非準拠のイメージを手動でデプロイしたり、ビルド システムをバイパスしたりすることを防ぐことはできません。強制はデプロイ時に行う必要があります。B 特定の信頼できる Artifact Registry リポジトリのイメージのみを使用するように GKE を構成します。すべてのイメージを手動で検査する: イメージを手動で検査することは自動化されておらず、「多数のコンテナ化されたアプリケーション」には拡張できません。また、脆弱性スキャンの結果や企業ポリシーをプログラムで強制することもできません。D Artificial Analysis の脆弱性スキャンを有効にし、イメージを定期的にスキャンします。デプロイ前に、基準を満たしていないイメージを削除します: これは、重要なスキャンと修復について説明します。ただし、これはプロアクティブな強制 (「デプロイが許可されているイメージのみ」) ではなく、リアクティブなアプローチ (「すべてのイメージを削除する」) です。非準拠のイメージが削除される前にデプロイされる可能性がある時間はまだあります。Binary Authorization は強制ゲートです。したがって、Binaryアーティファクト分析と統合されたポリシー（または結果に基づいて証明書を要求するポリシー）による承認は、脆弱性スキャンと企業コンプライアンスに基づいて導入ポリシーを適用するための、最も堅牢で自動化された Google 推奨のソリューションです。

https://cloud.google.com/load-balancing/docs/org-policy-constraints#gcloud