Professional Cloud Security Engineer
Question 296
あなたの会社は機密データをCloud Storageに保存しています。オンプレミスで生成された鍵を暗号化プロセスで使用したいと考えています。 どうすればよいですか?
A.
Cloud Key Management Serviceを使用してデータ暗号鍵(DEK)を管理します。B.
Cloud Key Management Serviceを使用して鍵暗号鍵(KEK)を管理します。C.
顧客提供の暗号鍵を使用してデータ暗号鍵(DEK)を管理します。D.
顧客提供の暗号鍵を使用して鍵暗号鍵(KEK)を管理します。Question 297
先週、ある企業がBigQueryにログを書き込む新しいApp Engineアプリケーションをデプロイしました。プロジェクトでは他のワークロードは実行されていません。BigQueryに書き込まれたすべてのデータが、App Engineのデフォルトサービスアカウントを使用して行われたことを検証する必要があります。 何をすべきですか?
A.
1. Cloud Loggingを使用し、BigQuery挿入ジョブでフィルタリングします。2. 認証フィールドでApp Engineデフォルトサービスアカウントと一致するメールアドレスをクリックします。3. 「一致するエントリを非表示」をクリックします。4. 結果のリストが空であることを確認します。B.
1. Cloud Loggingを使用し、BigQuery挿入ジョブでフィルタリングします。2. 認証フィールドでApp Engineデフォルトサービスアカウントと一致するメールアドレスをクリックします。3. 「一致するエントリを表示」をクリックします。4. 結果のリストが空であることを確認します。C.
1. BigQueryで、関連するデータセットを選択します。2. App Engineデフォルトサービスアカウントが、そのデータセットに書き込み可能な唯一のアカウントであることを確認します。D.
1. プロジェクトのIdentity and Access Management (IAM) セクションに移動します。2. App Engineデフォルトサービスアカウントが、BigQueryへの書き込み権限を持つロールを持つ唯一のアカウントであることを検証します。Question 298
あなたのチームは、組織レベルでの管理者権限を持つユーザーを制限したいと考えています。 チームが制限すべき2つのロールはどれですか?(2つ選択)
A.
組織管理者B.
特権管理者C.
GKEクラスタ管理者D.
Compute管理者E.
組織のロール閲覧者Question 299
ある組織のセキュリティおよびリスク管理チームは、Google Cloudで実行している特定の本番ワークロードに関する自社の責任範囲とGoogleの責任範囲について懸念しています。彼らは主に、App Engineを含むGoogle CloudのPaaS (Platform-as-a-Service) 製品を使用してワークロードを実行しています。 App Engineを使用する際、テクノロジースタックのどの領域に、彼らの主な責任として注力すべきでしょうか?
A.
VPCフローログの設定と監視B.
XSS(クロスサイトスクリプティング)およびSQLi(SQLインジェクション)攻撃からの防御C.
ゲストOSの最新アップデートとセキュリティパッチの管理D.
保存されているすべてのデータの暗号化Question 300
ある顧客が、Compute Engine上でホストされている自社のERPシステムにCloud Identity-Aware Proxyを導入しました。セキュリティチームは、ERPシステムがCloud Identity-Aware Proxyからのトラフィックのみを受け入れるようにセキュリティレイヤーを追加したいと考えています。 これらの要件を満たすために、顧客は何をすべきでしょうか?
A.
ERPシステムがHTTPリクエスト内のJWTアサーションを検証できるようにする。B.
ERPシステムがHTTPリクエスト内のIDヘッダーを検証できるようにする。C.
ERPシステムがHTTPリクエスト内のx-forwarded-forヘッダーを検証できるようにする。D.
ERPシステムがHTTPリクエスト内のユーザーの一意の識別子ヘッダーを検証できるようにする。