← 試験一覧に戻る

Professional Cloud Security Engineer

Question 101

Googleが推奨するプラクティスに従ってエンベロープ暗号化を活用し、アプリケーションレイヤーでデータを暗号化する必要があります。 何をすべきですか?

A.
データを暗号化するためにデータ暗号鍵(DEK)をローカルで生成し、DEKを暗号化するためにCloud KMSで新しい鍵暗号鍵(KEK)を生成します。暗号化されたデータと暗号化されたDEKの両方を保存します。
B.
データを暗号化するためにデータ暗号鍵(DEK)をローカルで生成し、DEKを暗号化するためにCloud KMSで新しい鍵暗号鍵(KEK)を生成します。暗号化されたデータとKEKの両方を保存します。
C.
データを暗号化するためにCloud KMSで新しいデータ暗号鍵(DEK)を生成し、そのDEKを暗号化するために鍵暗号鍵(KEK)をローカルで生成します。暗号化されたデータと暗号化されたDEKの両方を保存します。
D.
データを暗号化するためにCloud KMSで新しいデータ暗号鍵(DEK)を生成し、そのDEKを暗号化するために鍵暗号鍵(KEK)をローカルで生成します。暗号化されたデータとKEKの両方を保存します。
Question 102

あなたの組織ではActive Directoryを使用していて、Security Assertion Markup Language (SAML) の設定をしたいと考えています。すべてのユーザーに対してシングルサインオン (SSO) を設定し、強制する必要があります。 何をすべきですか?

A.
1. 新しいSAMLプロファイルを作成します。 2. サインインページとサインアウトページのURLを入力します。 3. X.509証明書をアップロードします。 4. IdPでエンティティIDとACS URLを設定します。
B.
1. Active Directory (AD) テナントでOpenID Connect (OIDC) の前提条件を設定します。 2. ADドメインを検証します。 3. どのユーザーがSAMLを使用するかを決定します。 4. 事前設定されたプロファイルを、選択した組織単位 (OU) およびグループに割り当てます。
C.
1. 新しいSAMLプロファイルを作成します。 2. X.509証明書をアップロードします。 3. パスワード変更URLを有効にします。 4. IdPでエンティティIDとACS URLを設定します。
D.
1. SAMLプロファイルの割り当てを管理します。 2. Active Directory (AD) テナントでOpenID Connect (OIDC) を有効にします。 3. ドメインを検証します。
Question 103

あなたの会社の従業員は、個人のコンピュータを使用して組織のGoogle Cloudコンソールにアクセスしています。ユーザーが会社支給のデバイスからのみGoogle Cloudコンソールにアクセスできるようにし、有効なエンタープライズ証明書を持っていることを確認する必要があります。 何をすべきですか?

A.
BeyondCorp Enterpriseでアクセスポリシーを実装してデバイス証明書を検証します。作成したアクセスポリシーでアクセスバインディングを作成します。
B.
VPCファイアウォールポリシーを実装します。パケット検査を有効にし、デバイス証明書を検証・確認するための許可ルールを作成します。
C.
アクセスコンテキストから証明書を検証するための組織ポリシーを実装します。
D.
デバイス証明書を検証するためのIdentity and Access Management (IAM) 条件付きポリシーを実装します。
Question 104

あなたの組織では、Google Cloudにインフラストラクチャとアプリケーションをデプロイするための新しい継続的インテグレーションおよび継続的デリバリー (CI/CD) プロセスを展開しています。多くのチームが独自のCI/CDワークフローのインスタンスを使用する予定です。これはGoogle Kubernetes Engine (GKE) 上で実行されます。CI/CDパイプラインは、Google Cloud APIに安全にアクセスできるように設計する必要があります。 どうすべきでしょうか?

A.
1. インフラストラクチャ用とアプリケーションデプロイ用に2つのサービスアカウントを作成します。 2. Workload Identityを使用して、Podが2つのパイプラインを実行し、サービスアカウントで認証できるようにします。 3. インフラストラクチャパイプラインとアプリケーションパイプラインを別々の名前空間で実行します。
B.
1. CI/CDパイプライン用に専用のサービスアカウントを作成します。 2. GKEクラスタ内の専用ノードプールでデプロイパイプラインを実行します。 3. 作成したサービスアカウントをプールのノードのアイデンティティとして使用し、Google Cloud APIに認証します。
C.
1. 各デプロイパイプラインに個別のサービスアカウントを作成します。 2. サービスアカウントの命名規則にパイプラインの識別子を追加します。 3. 各パイプラインが専用のPodで実行されるようにします。 4. Workload Identityを使用して、デプロイパイプラインのPodをサービスアカウントにマッピングします。
D.
1. 各デプロイパイプラインにサービスアカウントを作成します。 2. サービスアカウントの秘密鍵を生成します。 3. 特定のデプロイパイプラインを実行するPodのみがアクセスできるように、秘密鍵をKubernetes Secretとして安全に保存します。
Question 105

あなたの組織の顧客は、契約書と運転免許証をスキャンし、Cloud Storage上のウェブポータルにアップロードする必要があります。あなたは、12ヶ月以上経過したファイルからすべての個人識別情報(PII)を削除しなければなりません。また、匿名化されたファイルを保持目的でアーカイブする必要があります。 どうすればよいですか?

A.
Cloud Storageバケット内のファイルに12ヶ月の有効期間(TTL)を設定し、PIIを削除してファイルをアーカイブストレージクラスに移動する。
B.
12ヶ月以上前に作成されたファイル内のPIIを非識別化し、別のCloud StorageバケットにアーカイブするCloud Data Loss Prevention (DLP)検査ジョブを作成する。元のファイルを削除する。
C.
Cloud StorageバケットのAutoclass機能を設定してPIIを非識別化する。12ヶ月以上経過したファイルをアーカイブする。元のファイルを削除する。
D.
PIIを含むCloud Storageファイルの暗号化キーに対して、Cloud Key Management Service (KMS)のローテーション期間を12ヶ月にスケジュールして非識別化する。元のキーを削除する。
321問中 101-105問目
最初へ前へ1920212223次へ最後へ