CertPass

Question 71

HTTPSリソースにアクセスするために、Identity and Access Management (IAM) ユーザーに付与すべきIdentity-Aware Proxyロールはどれですか？

セキュリティ閲覧者

IAPで保護されたトンネルユーザー

IAPで保護されたウェブアプリユーザー

サービスブローカーオペレーター

Question 72

あなたは、自身のGoogle Cloudフットプリントにおけるネットワークセグメンテーションを監査する必要があります。現在、本番環境および非本番環境のInfrastructure-as-a-Service (IaaS) 環境を運用しています。すべてのVMインスタンスは、サービスアカウントのカスタマイズなしでデプロイされています。カスタムネットワーク内のトラフィックを監視した結果、優先度1000のタグベースのVPCファイアウォールルールがトラフィックを適切にセグメント化するために設定されているにもかかわらず、すべてのインスタンスが自由に通信できることに気づきました。この動作の最も可能性の高い理由は何ですか？

すべてのVMインスタンスに、それぞれのネットワークタグが付与されていません。

すべてのVMインスタンスが、同じネットワークサブネット内に存在しています。

すべてのVMインスタンスが、同じネットワークルートで設定されています。

VPCファイアウォールルールが、優先度999で同じサービスアカウントに基づく送信元/ターゲット間のトラフィックを許可しています。E . VPCファイアウォールルールが、優先度1001で同じサービスアカウントに基づく送信元/ターゲット間のトラフィックを許可しています。

Question 73

あなたは、ユーザーがGoogle Cloudと対話できるようにするために、Google Cloud組織内に数百の一時的なプロジェクトをデプロイするための新しいインフラストラクチャCI/CDパイプラインを作成しています。Google推奨のベストプラクティスに従いながら、組織内でのデフォルトネットワークの使用を制限したいと考えています。どうすべきですか？

組織レベルで `constraints/compute.skipDefaultNetworkCreation` 組織ポリシー制約を有効にする。

cronジョブを作成し、毎日Cloud Functionをトリガーして、各プロジェクトのすべてのデフォルトネットワークを自動的に削除する。

ユーザーに組織レベルでIAMオーナーロールを付与する。プロジェクトの周囲にVPCサービスコントロールの境界を作成し、`compute.googleapis.com` APIを制限する。

ユーザーがCI/CDパイプラインのみを使用し、デフォルトネットワークの作成をスキップする定義済みのインフラストラクチャテンプレートをデプロイできるようにする。

Question 74

あなたは会社のセキュリティ管理者であり、Google Cloud上のアクセス制御（識別、認証、認可）を管理する責任があります。認証と認可を設定する際に従うべき、Googleが推奨するベストプラクティスはどれですか？（2つ選択）

Googleのデフォルト暗号化を使用する。

ユーザーを手動でGoogle Cloudに追加する。

GoogleのIdentity and Access Management (IAM) サービスを使用して、基本ロールでユーザーをプロビジョニングする。

ユーザー認証とユーザーライフサイクル管理のために、Cloud IdentityとのSSO/SAML統合を使用する。

事前定義ロールで詳細なアクセス権を付与する。

Question 75

あなたは、IPパケットデータに不正または悪意のあるコンテンツが含まれていないか検査するよう任されました。何をすべきでしょうか？

パケットミラーリングを使用して、特定のVMインスタンスとの間のトラフィックをミラーリングします。ミラーリングされたトラフィックを分析するセキュリティソフトウェアを使用して検査を実行します。

VPC内のすべてのサブネットでVPCフローログを有効にします。Cloud Loggingを使用してフローログデータの検査を実行します。

VPC内の各VMインスタンスにFluentdエージェントを設定します。Cloud Loggingを使用してログデータの検査を実行します。

Google Cloud Armorのアクセスログを設定して、ログデータの検査を実行します。

Professional Cloud Security Engineer