← 試験一覧に戻る

Professional Cloud Security Engineer

Question 226

あなたの組織では、Google Cloudプロジェクトで職務の分離を実装しています。開発者グループは新しいコードをデプロイする必要がありますが、ネットワークファイアウォールルールを変更する権限を持つことはできません。どうすべきですか?

A.
すべての開発者にネットワーク管理者IAMロールを割り当てます。開発者にはファイアウォール設定を変更しないように指示します。
B.
Access Context Managerを使用して、IPアドレスやデバイスのセキュリティ状態などの属性に基づいて、承認された管理者のみがファイアウォールルールを変更できるようにする条件を作成します。
C.
2つのカスタムIAMロールを作成して割り当てます。Compute Engineとデプロイ関連の権限を制御するデプロイヤーロールを割り当てます。ファイアウォール権限を管理するために、別のロール(例:ネットワーク管理者ロール)を適切な担当者に割り当てます。
D.
開発者グループに編集者IAMロールを付与します。IAM拒否ポリシーを使用して、ファイアウォール変更権限を明示的に否定します。
Question 227

あなたは、世界中の様々なリージョンに配置された多くのプロジェクトを持つGoogle Cloud組織を管理しています。これらのプロジェクトは、同じAccess Context Managerアクセスポリシーによって保護されています。あなたは、米国ベースの顧客向けの保護対象保健情報(PHI)を処理する2つのプロジェクトをホストする新しいフォルダを作成しました。この2つのプロジェクトは個別に管理され、より厳格な保護が必要です。あなたは新しいフォルダに対してVPC Service Controlsの設定を行っています。米国ベースの人員のみがこれらのプロジェクトにアクセスできるようにし、これらのプロジェクト内でのGoogle Cloud APIアクセスをBigQueryとCloud Storageのみに制限する必要があります。どうすればよいですか?

A.
• スコープ付きアクセスポリシーを作成し、「ポリシーに含めるリソースを選択」で新しいフォルダを追加し、「プリンシパルを管理」で管理者を割り当てます。 • サービス境界については、サービス境界設定で2つの新しいプロジェクトを「保護するリソース」として指定します。 • 「制限付きサービス」を「すべてのサービス」に設定し、「VPCアクセス可能なサービス」を「選択したサービス」に設定し、「選択したサービス」でBigQueryとCloud Storageのみを指定します。
B.
• 新しいプロジェクトでIdentity-Aware Proxy (IAP) を有効にします。 • Access Context Managerアクセスレベルを作成し、「IPサブネットワーク」属性条件を米国ベースの企業IP範囲に設定します。 • 新しいフォルダレベルで「リソースサービスの利用を制限する」組織ポリシーを有効にし、「許可」ポリシータイプで「カスタム値」に「storage.googleapis.com」と「bigquery.googleapis.com」の両方を設定します。
C.
• 組織レベルのアクセスポリシーを編集し、「ポリシーに含めるリソースを選択」で新しいフォルダを追加します。 • サービス境界設定で2つの新しいプロジェクトを「保護するリソース」として指定します。 • 「制限付きサービス」を「すべてのサービス」に設定し、「VPCアクセス可能なサービス」を「選択したサービス」に設定し、BigQueryとCloud Storageのみを指定します。 • 既存のアクセスレベルを編集して、「地理的ロケーション」条件を「US」に設定します。
D.
• オンプレミス環境とGoogle Cloud組織の間にCloud Interconnect接続またはVirtual Private Network (VPN) を設定します。 • 新しいプロジェクト内のVPCファイアウォールポリシーを設定して、オンプレミスのIPアドレス範囲からの接続のみを許可します。 • 新しいフォルダで「リソースサービスの利用を制限する」組織ポリシーを有効にし、「許可」ポリシータイプで「カスタム値」に「storage.googleapis.com」と「bigquery.googleapis.com」の両方を設定します。
Question 228

あなたの組織と同様の組織を標的とする脅威アクターが存在します。攻撃は常に既知のIPアドレス範囲から開始されます。あなたは、アプリケーションロードバランサーを介してインターネットに公開されているウェブサイトに対して、これらのIPを拒否リストに登録したいと考えています。どうすべきでしょうか?

A.
Cloud Armor ポリシーを作成し、既知のIPアドレス範囲に対する拒否ルールを設定します。このポリシーをアプリケーションロードバランサーのバックエンドにアタッチします。
B.
アプリケーションロードバランサーのバックエンドに対して Identity-Aware Proxy を有効化します。プロキシからのトラフィックのみをアプリケーションに許可するファイアウォールルールを作成します。
C.
既知のIPアドレス範囲を含むフィルタを持つログシンクを作成します。アプリケーションロードバランサーがこれらのIPからアクセスされたときに検知するアラートをトリガーします。
D.
Cloud Firewall ポリシーを作成し、既知のIPアドレス範囲に対する拒否ルールを設定します。このファイアウォールポリシーを、アプリケーションバックエンドが存在する Virtual Private Cloud に関連付けます。
Question 229

あなたは、さまざまなチームを表すフォルダに整理されたGoogle Cloud環境を管理しています。これらのチームは、業務に関連する組織のポリシーを変更できる柔軟性が必要です。あなたは、Googleが推奨するセキュリティプラクティスを維持し、管理の複雑さを最小限に抑えながら、チームに必要な権限を付与したいと考えています。どうすればよいですか?

A.
組織のポリシー管理者の権限を持つカスタムIAMロールを作成し、各チームのフォルダにその権限を付与します。カスタムロールの定義内でフォルダ名に基づいてポリシーの変更を制限します。
B.
組織のポリシー管理者ロールを中央のサービスアカウントに割り当て、必要に応じてサービスアカウントを使用するための認証情報をチームに提供します。
C.
組織レベルのタグを作成します。関連するフォルダにタグを付けます。IAM条件を使用して、そのタグを持つリソースに組織のポリシー管理者ロールを制限します。
D.
各チームに組織レベルで組織のポリシー管理者ロールを付与します。
Question 230

あなたの組織では Vertex AI Workbench インスタンスを使用しています。新たにデプロイされるインスタンスが自動的に最新の状態に保たれ、かつユーザーが誤ってオペレーティングシステムの設定を変更できないようにする必要があります。どうすればよいですか?

A.
新たにデプロイされるインスタンスに対して、`disableRootAccess` (原文では `disableRootAccesa`) および `requireAutoUpgradeSchedule` 組織ポリシーを強制します。
B.
VM Manager を有効にし、対応する Google Compute Engine インスタンスが追加されていることを確認します。
C.
タグを使用して、対応する Google Compute Engine インスタンスへの Secure Shell (SSH) アクセスを禁止するファイアウォールルールを実装します。
D.
AI Workbench インスタンスのユーザーに、AI Notebooks Runner および AI Notebooks Viewer ロールを割り当てます。
321問中 226-230問目
最初へ前へ4445464748次へ最後へ