← 試験一覧に戻る

Professional Cloud Security Engineer

Question 161

管理アプリケーションが、現在インターネットアクセスがないVirtual Private Cloud (VPC) インスタンス内のマネージドグループの仮想マシン (VM) 上で、ポート5601で実行されています。ポート5601のウェブインターフェースをユーザーに公開し、Google認証情報による認証と認可を強制したいと考えています。 どうすればよいですか?

A.
OS Loginを有効にした踏み台ホストを設定し、VPCファイアウォールでポート5601への接続を許可します。Google Cloudコンソールからブラウザ経由のSSHを使用して踏み台ホストにログインし、その後ウェブアプリケーションにアクセスします。
B.
VPCルーティングを変更し、デフォルトルートがデフォルトインターネットゲートウェイを指すようにします。VPCファイアウォールルールを変更し、インターネット (0.0.0.0/0) からアプリケーションインスタンスのポート5601へのアクセスを許可します。
C.
パブリックネットワークにSecure Shell Access (SSH) 踏み台ホストを設定し、踏み台ホストからのみポート5601のアプリケーションへの接続を許可します。踏み台ホストをジャンプホストとして使用してアプリケーションに接続します。
D.
Identity-Aware Proxy (IAP) 保護とGoogle認証情報を使用して、マネージドグループを指すHTTPロードバランシングインスタンスを設定します。VPCファイアウォールを変更し、IAPネットワーク範囲からのアクセスを許可します。
Question 162

あなたの会社のユーザーはBigQueryテーブルのデータにアクセスします。ユーザーが就業時間中にのみデータにアクセスできるようにしたいと考えています。 どうすればよいですか?

A.
BigQueryデータ閲覧者ロールを割り当て、指定された就業時間へのアクセスを制限するIAM条件を付与します。
B.
gsutilスクリプトを実行してBigQueryデータ閲覧者ロールを割り当て、指定された就業時間中にのみそれを削除します。
C.
BigQueryデータ閲覧者ロールをサービスアカウントに割り当て、そのサービスアカウントが指定された就業時間中に毎日ユーザーを追加・削除するようにします。
D.
Cloud Schedulerを設定して、指定された就業時間中にBigQueryの組織ポリシー制約を変更するCloud Functionsインスタンスをトリガーします。
Question 163

いくつかの Compute Engine インスタンスをプライベートサブネットに配置しました。これらのインスタンスが、インターネットを経由せずに Cloud Storage などの Google Cloud サービスにアクセスできるようにするには、どうすればよいですか?

A.
プライベートサブネットに対して限定公開の Google アクセスを有効にする。
B.
プライベートサブネットの Virtual Private Cloud (VPC) に対して Private Service Connect を構成し、Compute Engine インスタンスに IP アドレス範囲を割り当てる。
C.
Compute Engine インスタンスに静的外部 IP アドレスを予約して割り当てる。
D.
プライベートサブネットが構成されているリージョンに Cloud NAT ゲートウェイを作成する。
Question 164

あなたの組織は、コンテナ化されたアプリケーションのためにCloud Runに大きく依存しています。イメージ作成にはCloud Buildを、イメージストレージにはArtifact Registryを、デプロイにはCloud Runを利用しています。共通脆弱性評価システム(CVSS)スコアが「中」を超える脆弱性を持つコンテナが本番環境にデプロイされないようにする必要があります。どうすればよいですか?

A.
Cloud Buildプロセスの一部として脆弱性スキャンを実装します。中程度以上の脆弱性が検出された場合は、手動でコンポーネントを更新してイメージを再ビルドします。
B.
ビルド後、Cloud Runへのデプロイ前に手動で脆弱性チェックを実行します。セキュリティエンジニア主導の手動修正プロセスを実装します。
C.
Cloud RunでBinary Authorizationを設定してイメージ署名を強制します。定義された脆弱性しきい値をクリアしたイメージのみデプロイを許可するポリシーを作成します。
D.
Cloud Buildステージで脆弱性スキャナを利用し、Artifact Registryの権限を設定して「中」を超える脆弱性を含むイメージをブロックします。
Question 165

あなたは、アプリケーションロードバランサーを介してインターネットに公開されているCloud Run上でウェブアプリケーションを実行しています。組織内の特権ユーザーのみがアプリケーションにアクセスできるようにしたいと考えています。提案されるソリューションは、シングルサインオンによるブラウザアクセスをサポートする必要があります。どうすべきですか?

A.
Cloud Runの設定を変更して認証を必須にします。特権ユーザーのグループにCloud Run起動元ロールを割り当てます。
B.
Cloud Identityで特権ユーザーのグループを作成します。Cloud RunサービスのCloud Runユーザーロールをグループに直接割り当てます。
C.
Cloud RunのIngress Control設定を内部に変更し、既知のIPアドレスからのアクセスのみを許可するファイアウォールルールを作成します。
D.
アプリケーションロードバランサーのバックエンドでIdentity-Aware Proxy (IAP) を有効にします。特権ユーザーのグループにIAPで保護されたウェブアプリユーザーロールを割り当てます。
321問中 161-165問目
最初へ前へ3132333435次へ最後へ