CertPass

Question 211

あなたは機密性の高い顧客データを扱う組織に勤務しています。このデータを格納する一連のGoogle Cloud Storageバケットを保護し、以下の要件を満たす必要があります。 • 複数のチームが、それぞれ異なるアクセスレベル（読み取り専用、読み書きなど）を必要とします。 • データはストレージ内および保存時に保護されなければなりません。 • コンプライアンス目的で、ファイルの変更を追跡し、アクセスを監査することが重要です。 • コンプライアンス目的で、組織は暗号化キーを管理する必要があります。どうすればよいでしょうか？

各チームに対してIAMグループを作成し、グループレベルで権限を管理します。Google Cloud Storageによるサーバーサイド暗号化とオブジェクトのバージョニングを採用します。異常なデータアクセスパターンについてアラートを発するようにクラウド監視ツールを設定します。

各チームに個別の権限を設定し、各バケットとファイルにアクセス制御リスト（ACL）を適用します。ファイル転送にはTLS暗号化を強制します。ストレージバケットに対してオブジェクトのバージョニングとCloud Audit Logsを有効にします。

「ストレージオブジェクト閲覧者」や「ストレージオブジェクトユーザー」など、各チームのアクセスニーズに合わせた事前定義IAMロールを使用します。顧客指定の暗号鍵（CSEK）を利用し、TLS暗号化を強制します。ストレージバケットに対してオブジェクトのバージョニングとCloud Audit Logsの両方を有効にします。

すべてのチームに対してオブジェクトレベルでIAM権限を割り当てます。保存データを暗号化するためにサードパーティ製のソフトウェアを導入します。ネットワークログを使用してデータアクセスを追跡します。

Question 212

あなたのチームは、プロジェクト co-vpc-prod をホストプロジェクトとして共有VPCネットワークを設定します。チームはホストプロジェクトにファイアウォールルール、サブネット、VPNゲートウェイを設定済みです。エンジニアリンググループAがCompute Engineインスタンスを10.1.1.0/24サブネットにのみアタッチできるようにする必要があります。この要件を満たすために、チームはエンジニアリンググループAに何を付与すべきですか？

ホストプロジェクトレベルでのComputeネットワークユーザーロール。

サブネットレベルでのComputeネットワークユーザーロール。

ホストプロジェクトレベルでのCompute共有VPC管理者ロール。

サービスプロジェクトレベルでのCompute共有VPC管理者ロール。

Question 213

あなたは、Google Cloud組織内の特定のサービスに対する通信制限を実装しています。あなたのデータ分析チームは専用のフォルダで作業しています。そのフォルダとそこに含まれるプロジェクトに対してBigQueryへのアクセスが制御されるようにする必要があります。データ分析チームは、フォルダレベルでのみ制限を制御できなければなりません。どうすればよいですか？

組織レベルのアクセスポリシーとサービス境界を作成してBigQueryアクセスを制限します。データ分析チームにアクセスポリシーに対するAccess Context Manager編集者ロールを割り当て、チームがアクセスポリシーを設定できるようにします。

フォルダにスコープポリシーとサービス境界を作成してBigQueryアクセスを制限します。データ分析チームにスコープポリシーに対するAccess Context Manager編集者ロールを割り当て、チームがスコープポリシーを設定できるようにします。

フォルダに階層型ファイアウォールポリシーを定義してBigQueryアクセスを拒否します。データ分析チームにCompute組織ファイアウォールポリシー管理者ロールを割り当て、チームがファイアウォールポリシーのルールを設定できるようにします。

フォルダに「リソースサービスの利用を制限」組織ポリシー制約を適用してBigQueryアクセスを制限します。データ分析チームに組織ポリシー管理者ロールを割り当て、チームがフォルダ内の除外を管理できるようにします。

Question 214

あなたの組織では、ユーザーを一元管理するために、サードパーティのIDおよび認証プロバイダを使用しています。このIDプロバイダを使用して、IDをGoogle Cloudに同期することなく、Google Cloudコンソールへのアクセスを許可したいと考えています。ユーザーは属性に基づいて権限を受け取る必要があります。どうすればよいですか？

Workforce Identity Federationで、中央のIDプロバイダをWorkforce IDプールプロバイダとして設定します。共通式言語 (CEL) を使用して属性マッピングを作成します。

関連するユーザーとグループの属性をCloud Identityに定期的に同期するように設定します。Security Assertion Markup Language (SAML) を使用してシングルサインオンを有効にします。

Google Cloud Identity Platformを設定します。OpenID Connectを使用して外部認証プロバイダを設定し、属性に基づいてユーザーアカウントをリンクします。

Identity-Aware Proxyで外部IDを有効にします。Security Assertion Markup Language (SAML) を使用して、中央認証プロバイダへの属性に基づいた認証を設定します。

Question 215

あなたは、オンプレミスネットワークからアクセスされる新しいウェブアプリケーションをGoogle Cloudに実装しています。マルウェアなどの脅威から保護するために、アプリケーションへの受信トラフィックに対してトランスポート層セキュリティ (TLS) インターセプションを実装する必要があります。何をすべきですか？

Secure Web Proxyを設定します。ロードバランサでTLSトラフィックをオフロードし、トラフィックを検査して、ウェブアプリケーションに転送します。

内部プロキシロードバランサを設定します。ロードバランサでTLSトラフィックをオフロードし、トラフィックを検査して、ウェブアプリケーションに転送します。

階層型ファイアウォールポリシーを設定します。Cloud Next Generation Firewall (NGFW) Enterpriseを使用してTLSインターセプションを有効にします。

VPCファイアウォールルールを設定します。Cloud Next Generation Firewall (NGFW) Enterpriseを使用してTLSインターセプションを有効にします。

Professional Cloud Security Engineer