← 試験一覧に戻る

Professional Cloud Security Engineer

Question 106

あなたは、サードパーティのアイデンティティプロバイダ(IdP)からCloud Identityへアイデンティティを同期する予定です。一部の従業員が、Googleサービスにアクセスするために、会社のメールアドレスを使用してコンシューマアカウントを設定していることが判明しました。あなたは、これらのコンシューマアカウントの設定、セキュリティ、およびライフサイクルを組織が管理できるようにする必要があります。 何をすべきですか?(2つ選択してください)

A.
該当する従業員に、管理されていないコンシューマアカウントを削除するよう指示する。
B.
Cloud Identityには存在するが、サードパーティIdPには存在しないアカウントを調整する。
C.
アイデンティティを同期する前に、サードパーティIdP内の管理されていないコンシューマアカウントを強制排除する。
D.
Google Cloud Directory Sync (GCDS) を使用して、管理されていないコンシューマアカウントのメールをユーザーエイリアスとして移行する。
E.
転送ツールを使用して、該当する従業員に、管理されていないコンシューマアカウントを会社のドメインに転送するよう招待する。
Question 107

あなたは本番プロジェクト内のすべてのGoogle Cloudリソースを監査しています。ファイアウォールルールを変更できるすべてのプリンシパルを特定したいと考えています。 どうすればよいですか?

A.
Policy Analyzerを使用して、`compute.firewalls.get` または `compute.firewalls.list` の権限をクエリする。
B.
Firewall Insightsを使用して、ファイアウォールルールの使用パターンを理解する。
C.
Security Command CenterのSecurity Health Analytics – ファイアウォールの脆弱性検出結果を参照する。
D.
Policy Analyzerを使用して、`compute.firewalls.create` または `compute.firewalls.update` または `compute.firewalls.delete` の権限をクエリする。
Question 108

あなたの組織は以前、Google マネージド暗号鍵 (GMEK) を使用して Cloud Storage にファイルを保存していましたが、最近、顧客管理の暗号鍵 (CMEK) を要求する内部ポリシーに更新しました。最小限のコストで迅速かつ効率的にファイルを再暗号化する必要があります。 どうすればよいですか?

A.
gsutil を使用してキーファイルを指定し、同じ Cloud Storage バケットにファイルを再アップロードする。
B.
ファイルをローカルで暗号化し、その後 gsutil を使用して新しいバケットにファイルをアップロードする。
C.
セカンダリリージョンで CMEK が有効になっている新しいバケットにファイルをコピーする。
D.
バケットの暗号化タイプを CMEK に変更し、オブジェクトを再書き込みする。
Question 109

あなたはCloud Runでアプリケーションを実行しています。脆弱性スキャンのためにコンテナ分析は既に有効化しています。しかし、デプロイされるアプリケーションに対する制御が不足していることを懸念しています。Cloud Runには信頼できるコンテナイメージのみがデプロイされるようにする必要があります。 何をすべきですか?(2つ選択してください)

A.
既存のCloud RunサービスでBinary Authorizationを有効にする。
B.
組織ポリシーの制約 `constraints/run.allowedBinaryAuthorizationPolicies` を、許可されたBinary Authorizationポリシー名のリストに設定する。
C.
既存のKubernetesクラスタでBinary Authorizationを有効にする。
D.
Cloud Runのブレークグラスを使用して、デフォルトでBinary Authorizationポリシーを満たすイメージをデプロイする。
E.
組織ポリシーの制約 `constraints/compute.trustedImageProjects` を、信頼できるコンテナイメージを含むプロジェクトのリストに設定する。
Question 110

あなたの組織には、Google Cloud APIにアクセスする必要があるオンプレミスホストがあります。これらのホストとGoogle Cloud API間のプライベート接続を確立し、コストを最小限に抑え、運用効率を最適化する必要があります。 何をすべきでしょうか?

A.
オンプレミスのホストとVPCの間で、インターネット経由のVPCピアリングを設定する。
B.
すべてのオンプレミストラフィックを、IPsec VPNトンネル経由で、Private Google Accessが有効になっているVPCにルーティングする。
C.
すべてのアプリケーションがネットワーク経由でデータを送信する前に、Cloud Key Management Service (KMS) キーでデータを暗号化することを義務付けるセキュリティポリシーを適用する。
D.
すべてのオンプレミストラフィックを、Dedicated Interconnect または Partner Interconnect経由で、Private Google Accessが有効になっているVPCにルーティングする。
321問中 106-110問目
最初へ前へ2021222324次へ最後へ