Professional Cloud Security Engineer

あなたは、組織のGoogle Cloudプロジェクトの1つ（プロジェクトA）を管理しています。VPC Service Controls（SC）ペリメータが、Pub/Subを含むこのプロジェクトへのAPIアクセスリクエストをブロックしています。別のプロジェクト（プロジェクトB）のサービスアカウントで実行されているリソースが、あなたのプロジェクトのPub/Subトピックからメッセージを収集する必要があります。プロジェクトBはVPC SCペリメータに含まれていません。最小権限の原則に従って、プロジェクトBからプロジェクトAのPub/Subトピックへのアクセスを提供する必要があります。 どうすればよいですか？

あなたはGoogle Cloud環境で中央集権的なセキュリティ制御を定義しています。組織内のあるフォルダに対して、VMへの外部IPアドレスの割り当てを拒否する組織のポリシーを設定しました。2日後、そのフォルダ配下に外部IPアドレスを持つ新しいVMに関するアラートを受け取りました。 このアラートの原因として何が考えられますか？

あなたの会社は最近、サービスアカウントキーの使用を最小限に抑えるためのセキュリティポリシーを公開しました。オンプレミスのWindowsベースのアプリケーションがGoogle Cloud APIと連携しています。オンプレミスのIDプロバイダーを使用してWorkload Identity連携 (WIF) を実装する必要があります。 何をすべきですか？

セキュリティ脆弱性評価を完了した後、クラウド管理者がGoogle Cloud CLIセッションを何日も開いたままにしていることが判明しました。これらの開いたままのセッションを攻撃者が悪用するリスクを軽減するために、これらのセッションを最小期間に設定する必要があります。 どうすればよいですか？

あなたはGoogle Cloud上に多数のプライベート仮想マシンを保有しています。時折、リモートの場所からSecure Socket Shell (SSH) 経由でサーバーを管理する必要があります。セキュリティとコスト効率を最適化する方法で、サーバーへのリモートアクセスを設定したいと考えています。 どうすべきでしょうか？