Professional Cloud Security Engineer
Question 256
あなたのチームは、オンプレミスのActive DirectoryサービスからGCP IAMの権限を一元管理したいと考えています。チームはADのグループメンバーシップによって権限を管理したいと考えています。 これらの要件を満たすために、チームは何をすべきですか?
A.
Cloud Directory Syncを設定してグループを同期し、そのグループにIAM権限を設定する。B.
SAML 2.0 シングルサインオン (SSO) を設定し、グループにIAM権限を割り当てる。C.
Cloud Identity and Access Management APIを使用して、Active Directoryからグループを作成し、IAM権限を設定する。D.
Admin SDKを使用して、Active Directoryからグループを作成し、IAM権限を割り当てる。Question 257
あなたの組織のGoogle CloudインスタンスのPCIコンプライアンスを評価したいと考えています。Googleの固有の統制を特定する必要があります。 その情報を見つけるためには、どのドキュメントを確認すべきですか?
A.
Google Cloud Platform: 顧客責任範囲マトリクスB.
PCI DSS 要件とセキュリティ評価手順C.
PCI SSC クラウドコンピューティングガイドラインD.
Compute Engineの製品ドキュメントQuestion 258
あなたの会社は、Google Cloud Platform上に個人識別情報(PII)を保存するウェブサイトを運営しています。データプライバシー規制を遵守するため、このデータは特定の期間のみ保存可能で、この特定期間の経過後は完全に削除されなければなりません。期間がまだ終了していないデータは削除してはいけません。あなたはこの規制を遵守するプロセスを自動化したいと考えています。 どうすべきでしょうか?
A.
データを単一のPersistent Diskに保存し、有効期限切れ時にディスクを削除する。B.
データを単一のBigQueryテーブルに保存し、適切なテーブル有効期限を設定する。C.
データを単一のCloud Storageバケットに保存し、バケットのTime to Live(有効期間)を設定する。D.
データを単一のBigTableテーブルに保存し、列ファミリーに有効期限を設定する。Question 259
DevOpsチームは、Google Kubernetes Engine (GKE) 上で実行する新しいコンテナを作成する予定です。このアプリケーションはインターネットに公開されるため、コンテナの攻撃対象領域を最小化したいと考えています。 彼らは何をすべきでしょうか?
A.
Cloud Build を使用してコンテナイメージをビルドする。B.
小さなベースイメージを使用して小さなコンテナをビルドする。C.
Container Registry から未使用のバージョンを削除する。D.
継続的デリバリーツールを使用してアプリケーションをデプロイする。Question 260
組織のインフラストラクチャをGCPに移行するにあたり、多数のユーザーがGCPコンソールにアクセスする必要があります。ID管理チームは、ユーザーを管理するための確立された方法をすでに持っており、既存のActive DirectoryまたはLDAPサーバーと既存のSSOパスワードを引き続き使用したいと考えています。 どうすればよいですか?
A.
Googleドメインのデータを既存のActive DirectoryまたはLDAPサーバーと手動で同期します。B.
Google Cloud Directory Syncを使用して、Googleドメインのデータを既存のActive DirectoryまたはLDAPサーバーと同期します。C.
ユーザーは、オンプレミスのKerberos準拠のIDプロバイダーからの認証情報を使用して、GCPコンソールに直接サインインします。D.
ユーザーはOpenID (OIDC) 互換のIdPを使用してサインインし、認証トークンを受け取り、そのトークンを使用してGCPコンソールにログインします。