Professional-Cloud-Security-Engineer日本語 無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)」

（A）ホスト プロジェクト レベルで共有 VPC 管理者ロールを計算します。

（B）サブネット レベルでの Compute ネットワーク ユーザー ロール。

（C）ホスト プロジェクト レベルでのコンピューティング ネットワーク ユーザーの役割。

（D）サービス プロジェクト レベルで共有 VPC 管理者ロールを計算します。

（A）Policy Analyzer を使用して、コンピューティング、ファイアウォール、コンピューティング、ファイアウォール、リストのアクセス許可をクエリします。

（B）ファイアウォール インサイトを使用して、ファイアウォール ルールの使用パターンを理解します。

（C）Security Command Center の Security Health Analytics - ファイアウォールの脆弱性の調査結果を参照してください。

（D）Policy Analyzer を使用して、コンピューティング、ファイアウォール、コンピューティングの作成、ファイアウォールの権限をクエリします。コンピューティング、ファイアウォール、削除の作成。

（A）NAT ゲートウェイ

（B）クラウドアーマー

（C）ネットワーク負荷分散

（D）SSL プロキシ ロード バランシング

（A）組織レベルで 1AM 所有者の役割をユーザーに付与します。プロジェクトの周りに、compute.googleapis.com API を制限する VPC Service Controls 境界を作成します。

（B）組織レベルで、constraints/compute.skipDefaultNetworkCreation 組織ポリシーの制約を有効にします。

（C）cron ジョブを作成して、毎日の Cloud Function をトリガーし、各プロジェクトのすべてのデフォルト ネットワークを自動的に削除します。

（D）デフォルト ネットワークの作成をスキップするために、ユーザーがデプロイできる事前定義された一連のインフラストラクチャ テンプレートで CI/CD パイプラインを使用することのみをユーザーに許可します。

（A）ユーザーに自分のプロジェクトで compuce.imageUser ロールを付与します。

（B）プロジェクトのユーザーから VM インスタンスの作成権限を削除し、あなたとあなたのチームだけが VM インスタンスを作成できるようにします。

（C）組織内でスピンアップされたすべてのプロジェクトにイメージを保存します。

（D）OS イメージ プロジェクトで compuce.imageUser ロールをユーザーに付与します。

（E）イメージ アクセスの組織ポリシーの制約を設定し、プロジェクトの許可リストにセキュリティ チームが管理するプロジェクトをリストします。

（A）Cloud KMS で新しいデータ暗号鍵 (DEK) を生成してデータを暗号化し、ローカルで鍵暗号鍵 (KEK) を生成して鍵を暗号化します。暗号化されたデータと暗号化された DEK の両方を保存します。

（B）Cloud KMS で新しいデータ暗号鍵 (DEK) を生成してデータを暗号化し、ローカルで鍵暗号鍵 (KEK) を生成して鍵を暗号化します。暗号化されたデータと KEK の両方を保存します。

（C）データ暗号化キー (DEK) をローカルで生成してデータを暗号化し、Cloud KMS で新しいキー暗号化キー (KEK) を生成して DEK を暗号化します。暗号化されたデータと暗号化された DEK の両方を保存します。

（D）データ暗号化キー (DEK) をローカルで生成してデータを暗号化し、Cloud KMS で新しいキー暗号化キー (KEK) を生成して DEK を暗号化します。暗号化されたデータと KEK の両方を保存します。

（A）組織のポリシーの制約/iam.disableServiceAccountCreation ブール値を使用して、新しいサービス アカウントの作成を無効にします。

（B）組織ポリシーのconstraints/iam.disableServiceAccountKeyCreationブール値を使用して、新しいサービス アカウントの作成を無効にします。

（C）Identity and Access Management (IAM) を使用して、運用環境にアクセスできるすべてのユーザーとサービス アカウントのアクセスを制限します。

（D）組織ポリシーのconstraints/iam.disableServiceAccountKeyUploadブール値を使用して、新しいサービス アカウントの作成を無効にします。

（A）共有 VPC でプロジェクトを構成します。

（B）Cloud Interconnect でプロジェクトを構成します。

（C）すべての Compute Engine インスタンスをプライベート アクセスで構成します。

（D）Cloud VPN を使用してプロジェクトを構成します。

（E）VPC ピアリングを使用してプロジェクトを構成します。

（A）組織レベルで Constraints/storage.publicAccessPrevention 制約を有効にします。

（B）バケットを含むプロジェクトで storage.googleapis.com サービスを保護する VPC Service Controls 境界を作成します。バケットを含む新しいプロジェクトを境界に追加します。

（C）組織レベルで Constraints/storage.uniformBucketLevelAccess 制約を有効にします。

（D）1 時間ごとの cron ジョブを作成して、パブリック バケットを見つけてプライベートにする Cloud Function を実行します。

（A）Workload Identity を使用して GitHub に認証情報を提供する Google Kubernetes Engine クラスターを構成します。

（B）GitHub を ID プール プロバイダーとして使用するように Workload Identity フェデレーションを構成します。

（C）サービス アカウント キーを作成し、GitHub リポジトリ コンテンツに追加します。

（D）サービス アカウント キーを作成し、GitHub パイプライン構成ファイルに追加します。

（A）VPC フロー ログ

（B）VPC Service Controls のログ

（C）パケット ミラーリング

（D）Google クラウド アーマー

（E）クラウド IDS

（A）プライベート Google アクセス

（B）IAM ネットワーク ユーザー ロール

（C）IP フォワーディング

（D）パブリック IP

（E）静的ルート

（A）すべてのアウトバウンド接続を許可するルール

（B）すべてのアウトバウンド接続をブロックするルール

（C）すべての受信ポート 25 接続をブロックするルール

（D）すべてのインバウンド接続を拒否するルール

（E）すべての受信ポート 80 接続を許可するルール

（A）顧客指定の暗号化キー (CSEK)。

（B）顧客管理の暗号鍵 (CMEK)。

（C）クラウド ハードウェア セキュリティ モジュール (Cloud HSM) を使用します。

（D）Cloud Storage をフェデレーション データ ソースとして使用します。

（A）組織ポリシーの制約を設定します。
constraints/iam.allowServiceAccountCredentialLifetimeExtension を 1 時間に設定します。

（B）再認証の頻度を設定します (または Google Cloud Session Control を 1 時間に設定します)。

（C）組織ポリシーの制約制約/iam を設定します。serviceAccountKeyExpiryHours を 1 時間に、inheritFromParent を false に設定します。

（D）Google セッション コントロールのセッション期間を 1 時間に設定します。

（A）データ サイエンス マネージャーのアカウントを既存のドメインのスーパー管理者としてプロビジョニングするよう Google に依頼します。

（B）新しいドメイン名を登録し、それを新しい Cloud Identity ドメインに使用します。

（C）Google サポートに連絡し、ドメイン競合プロセスを開始して、新しい Cloud Identity ドメインでドメイン名を使用してください。

（D）お客様の経営陣に、Google マネージド サービスの他の用途を発見するよう依頼し、既存のスーパー管理者と協力します。

（A）CryptoReplaceFfxFpeConfig

（B）CryptoHashConfig

（C）Redaction

（D）Generalization