← 試験一覧に戻る

Professional Cloud Security Engineer

Question 306

あなたは会社のセキュリティ管理者です。LDAPディレクトリにあるメールアドレスを持つ全てのセキュリティグループをCloud IAMに同期したいと考えています。 何をすべきですか?

A.
Google Cloud Directory Syncを設定し、LDAP検索ルールで「ユーザーのメールアドレス」を属性として使用してセキュリティグループを一方向に同期します。
B.
Google Cloud Directory Syncを設定し、LDAP検索ルールで「ユーザーのメールアドレス」を属性として使用してセキュリティグループを双方向に同期します。
C.
管理ツールを使用して、メールアドレス属性に基づいてサブセットを同期します。Googleドメインにグループを作成します。Googleドメインで作成されたグループは、自動的に明示的なGoogle Cloud Identity and Access Management (IAM) ロールを持ちます。
D.
管理ツールを使用して、グループオブジェクトクラス属性に基づいてサブセットを同期します。Googleドメインにグループを作成します。Googleドメインで作成されたグループは、自動的に明示的なGoogle Cloud Identity and Access Management (IAM) ロールを持ちます。
Question 307

あなたはセキュリティチームの一員として、侵害されたサービスアカウントキーを調査しています。そのサービスアカウントによってどの新しいリソースが作成されたかを監査する必要があります。 何をすべきでしょうか?

A.
データアクセスログをクエリする。
B.
管理アクティビティログをクエリする。
C.
アクセストランスペアレンシーログをクエリする。
D.
Cloud Monitoring ワークスペースをクエリする。
Question 308

アプリケーションがあり、フロントエンドはサブネットAのマネージドインスタンスグループにデプロイされ、データレイヤーは同じVPC内のサブネットBにあるMySQL Compute Engine仮想マシン(VM)に保存されています。サブネットAとサブネットBには、他にもいくつかのCompute Engine VMが存在します。アプリケーションのフロントエンドから、アプリケーションのMySQLインスタンスのポート3306にあるデータへのアクセスのみを許可したいと考えています。 どうすればよいですか?

A.
サブネットAの送信元IP範囲から、MySQL Compute Engine VMに適用された「data-tag」タグへのポート3306での通信を許可する上り(ingress)ファイアウォールルールを設定します。
B.
フロントエンドの専用サービスアカウントから、MySQL Compute Engine VMの専用サービスアカウントへのポート3306での通信を許可する上り(ingress)ファイアウォールルールを設定します。
C.
サブネットAのすべてのインスタンスにネットワークタグ「fe-tag」を適用し、サブネットBのすべてのインスタンスにネットワークタグ「data-tag」を適用します。次に、「data-tag」でタグ付けされたCompute Engine VMから、「fe-tag」でタグ付けされた宛先Compute Engine VMへの通信を許可する下り(egress)ファイアウォールルールを設定します。
D.
サブネットAのすべてのインスタンスにネットワークタグ「fe-tag」を適用し、サブネットBのすべてのインスタンスにネットワークタグ「data-tag」を適用します。次に、「fe-tag」でタグ付けされたCompute Engine VMから、「data-tag」でタグ付けされた宛先Compute Engine VMへの通信を許可する上り(ingress)ファイアウォールルールを設定します。
Question 309

あなたの会社は、現在us-central-1のGoogle Cloudロードバランサーの背後にデプロイされ、スタンダードティアネットワークを使用するように設定されているアプリケーションインスタンスグループを運用しています。インフラストラクチャチームは、2番目のGoogle Cloudリージョンであるus-east-2への拡張を計画しています。あなたは、両リージョンのインスタンスグループに新しいリクエストを分散するための単一の外部IPアドレスを設定する必要があります。 どうすべきですか?

A.
ロードバランサーのバックエンド設定を、インスタンスグループの代わりにネットワークエンドポイントグループを使用するように変更する。
B.
ロードバランサーのフロントエンド設定をプレミアムティアネットワークを使用するように変更し、新しいインスタンスグループを追加する。
C.
us-east-2にスタンダードティアネットワークを使用して新しいロードバランサーを作成し、静的外部IPアドレスを割り当てる。
D.
2つのリージョン間にCloud VPN接続を作成し、Google Private Accessを有効にする。
Question 310

あなたはあなたの会社のセキュリティ管理者です。あなたのCloud Storageバケットには3,000個のオブジェクトがあります。各オブジェクトへのアクセスを個別に管理したくありません。 また、オブジェクトのアップローダーが常にオブジェクトの完全な制御権を持つことも望んでいません。しかし、バケットへのアクセス管理にはCloud Audit Logsを使用したいと考えています。 どうすべきですか?

A.
allUsersのスコープに対してOWNER権限を持つACLを設定する。
B.
allUsersのスコープに対してREADER権限を持つACLを設定する。
C.
デフォルトのバケットACLを設定し、IAMを使用してユーザーのアクセスを管理する。
D.
Cloud Storageバケットに均一なバケットレベルのアクセスを設定し、IAMを使用してユーザーのアクセスを管理する。
321問中 306-310問目
最初へ前へ6061626364次へ最後へ