CertPass

Question 31

標準ネットワークティアを使用している場合に、デフォルトでクライアントIPを維持するためには、どのタイプのロードバランサーを使用すべきですか？

SSLプロキシ

TCPプロキシ

内部TCP/UDPロードバランサー

TCP/UDPネットワークロードバランサー

Question 32

ユーザーが誤って共有VPCホストプロジェクトを削除するのを防ぎたいと考えています。どの組織レベルのポリシー制約を有効にすべきですか？

compute.restrictSharedVpcHostProjects

compute.restrictXpnProjectLienRemoval

compute.restrictSharedVpcSubnetworks

compute.sharedReservationsOwnerProjects

Question 33

Compute Engine でホストされている公開アプリケーションで障害が発生しているとユーザーから報告がありました。最近行われたファイアウォールルールの変更が原因であると疑っています。ファイアウォールルールが正しく機能しているかテストする必要があります。どうすればよいですか？

変更された最新のルールに対してファイアウォールルールロギングを有効にします。ログエクスプローラを使用して、ルールが正しく機能しているかどうかを分析します。

VPC 内の踏み台ホストに接続します。ネットワークトラフィックアナライザを使用して、リクエストがどの時点でブロックされているかを特定します。

本番前環境で、すべてのファイアウォールルールを個別に無効にして、どれがユーザートラフィックをブロックしているかを特定します。

VPC で VPC フローログを有効にします。ログエクスプローラを使用して、ルールが正しく機能しているかどうかを分析します。

Question 34

あなたは会社のセキュリティ管理者です。Google推奨のベストプラクティスに従い、必須ドメインのみがプロジェクトにアクセスできるようにドメイン制限共有組織ポリシーを実装しました。現在、エンジニアリングチームから、組織ドメイン外の外部パートナーのユーザーがプロジェクト内のリソースへのアクセス権を付与できないとの報告がありました。記載されたベストプラクティスに従いながら、パートナーのドメインに対して例外を設けるにはどうすればよいですか？

ドメイン制限共有組織ポリシーを無効にします。ポリシー値を「すべて許可」に設定します。

ドメイン制限共有組織ポリシーを無効にします。GoogleのIdentity and Access Management (IAM) サービスを使用して、外部パートナーに必要な権限を付与します。

ドメイン制限共有組織ポリシーを無効にします。各パートナーのGoogle Workspace顧客IDをGoogleグループに追加し、そのGoogleグループを組織ポリシーの例外として追加してから、ポリシーを再度有効にします。

ドメイン制限共有組織ポリシーを無効にします。ポリシー値を「カスタム」に設定します。各外部パートナーのCloud IdentityまたはGoogle Workspace顧客IDを組織ポリシーの例外として追加し、その後ポリシーを再度有効にします。

Question 35

顧客のデータサイエンスグループは、分析ワークロードにGoogle Cloud Platform（GCP）を利用したいと考えています。会社の方針では、すべてのデータは会社所有であり、すべてのユーザー認証は自社のSecurity Assertion Markup Language（SAML）2.0アイデンティティプロバイダ（IdP）を経由しなければならないと定められています。インフラストラクチャ運用システムエンジニアが顧客のためにCloud Identityを設定しようとしたところ、そのドメインが既にG Suiteで使用されていることに気づきました。システムエンジニアに、最小限の混乱で進めるための最善の方法をどのように助言しますか？

Googleサポートに連絡し、ドメインコンテステーションプロセスを開始して、新しいCloud Identityドメインでそのドメイン名を使用する。

新しいドメイン名を登録し、それを新しいCloud Identityドメインに使用する。

Googleに依頼して、既存ドメインのデータサイエンスマネージャーのアカウントを特権管理者としてプロビジョニングしてもらう。

顧客の経営陣に、Googleが管理するサービスの他の利用状況を調査するよう依頼し、既存の特権管理者と協力する。

Professional Cloud Security Engineer