Professional Cloud Security Engineer

あなたの組織では、機密性の高い構造化データセットを処理するためにBigQueryを使用しています。「知る必要性」の原則に従い、以下のユーザーのニーズを満たすために、Identity and Access Management (IAM) の設計を作成する必要があります。 • ビジネスユーザー: キュレーションされたレポートにアクセスする必要があります。 • データエンジニア: プラットフォーム内のデータライフサイクルを管理する必要があります。 • セキュリティオペレーター: データプラットフォーム上のユーザーアクティビティを確認する必要があります。 あなたは何をすべきですか？

あなたは、顧客管理の暗号鍵（CMEK）で暗号化された新しいCloud Storageバケットを環境に設定しています。CMEKはプロジェクト「prj-a」のCloud Key Management Service（KMS）に保存されており、Cloud Storageバケットはプロジェクト「prj-b」を使用します。この鍵はCloud Hardware Security Module（HSM）によって保護されており、リージョンeurope-west3に存在します。あなたのストレージバケットはリージョンeurope-west1に配置されます。バケットを作成する際に鍵にアクセスできず、その理由をトラブルシューティングする必要があります。 何がアクセス問題の原因でしょうか？

あなたはGoogle Cloudに規制対象のワークロードをデプロイしています。その規制には、データ所在地とデータアクセスの要件があります。また、データが存在するのと同じ地理的場所からサポートが提供されることも要求されています。 どうすべきでしょうか？

あなたの組織は、Google Cloud環境で保存データを暗号化するために使用するキーを完全に制御したいと考えています。キーはGoogleの外部で生成および保存され、BigQueryを含む多くのGoogleサービスと統合する必要があります。 どうすべきですか？

あなたの会社では、不正な第三者が偽のログインページを使用してGoogle Cloud環境にアクセスすることを懸念しています。中間者攻撃から保護するための解決策を実装する必要があります。 どのセキュリティ対策を使用すべきですか？