Professional-Cloud-Security-Engineer日本語 無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)」

（A）ISO27001

（B）ISO 27018

（C）ISO 27017

（D）ISO27002

（A）private.googleapis.com を使用して、Google Cloud 内からのみルーティング可能な一連の IP アドレスを使用して Google API にアクセスします。これらの IP アドレスは、接続を介してルートとしてアドバタイズされます。

（B）制限付きの googleapis.com を使用して、Cloud Interconnect 接続を介してルートとしてアドバタイズされる、Google Cloud 内からのみルーティング可能な一連の IP アドレスを使用して Google API にアクセスします。

（C）「all-apis」の API バンドルを使用して、Private Service Connect エンドポイントの IP アドレスを設定します。これは、クラウド相互接続接続を介したルートとしてアドバタイズされます。

（D）地域のサブネットとグローバル動的ルーティング モードで限定公開の Google アクセスを有効にします。

（A）オフィスとクラウド環境間のすべての接続に VPN を使用します。

（B）カード会員データ環境を別の GCP プロジェクトに移動します。

（C）Web アプリケーションへの管理者アクセスに多要素認証を使用します。

（D）PA-DSS に準拠することが認定されたアプリケーションのみを使用してください。

（A）MIG のサービス プロジェクトに Cloud NAT ゲートウェイをデプロイします。

（B）MIG をバックエンドとしてサービス プロジェクトに外部 HTTP(S) ロード バランサをデプロイします。

（C）MIG をバックエンドとしてホスト (VPC) プロジェクトに外部 HTTP(S) ロード バランサーをデプロイします。

（D）MIG のホスト (VPC) プロジェクトに Cloud NAT ゲートウェイをデプロイします。

（A）すべてのプロジェクトで Shielded VM サービスが信頼できるイメージ リポジトリの使用を強制できるようにする組織ポリシー制約を実装します。

（B）信頼されたイメージ リポジトリから新しい仮想マシンが作成されるときに自動的にトリガーされるクラウド関数を作成します。イメージが非推奨になっていないことを確認します。

（C）信頼されたイメージ リポジトリに一般的な脆弱性と危険性 (CVE) が存在しないことを検証するセキュリティ スキャナーを自動化します。

（D）組織のポリシーを実装して、信頼できるイメージ プロジェクトからのイメージからのみブート ディスクを作成できるように強制します。

（A）物理トークンを使用して、多要素認証 (MFA) でスーパー管理者の資格情報を保護します。

（B）Google Cloud Console の組織レベルで特権管理者の Identity and Access Management (1AM) ロールを無効にします。

（C）Google 管理コンソールでアクセス レベルを作成して、特権管理者が Google Cloud にログインできないようにします。

（D）特権管理者ユーザーの日常的な活動のために、特権のない ID を提供します。

（E）プライベート接続を使用してスーパー管理者アカウントを作成し、資格情報がインターネット経由で送信されないようにします。

（A）クラウド VPN

（B）VPC ピアリング

（C）共有 VPC

（D）クラウド インターコネクト

（A）Deployment Manager を使用して、更新された VM を新しいインスタンス グループ (IG) にプロビジョニングします。

（B）ドメイン コントローラを Compute Engine にフェデレートし、グループ ポリシー オブジェクトを介して毎週パッチをロールアウトします。

（C）パッチが利用可能になったら新しい基本イメージを構築し、CI/CD パイプラインを使用して VM を再構築し、段階的に展開します。

（D）毎週のメンテナンス期間中にすべての VM を再起動し、スタートアップ スクリプトがインターネットから最新のパッチをダウンロードできるようにします。

（A）クラウド外部キー マネージャー

（B）Google のデフォルトの暗号化

（C）顧客管理の暗号鍵

（D）顧客提供の暗号化キー

（A）1. 信頼できるネットワークと信頼できないネットワークの 2 つの VPC ネットワークをセットアップします。
2. 複数のネットワーク インターフェースを使用して仮想アプライアンスを構成し、各インターフェースを VPC ネットワークの 1 つに接続します。

（B）1. 信頼できるネットワークと信頼できないネットワークの 2 つの VPC ネットワークを設定し、それらをピアリングします。
2. 仮想アプライアンスを指す各ネットワークでカスタム ルートを構成します。

（C）1. 1 つの VPC に 2 つのサブネット (信頼できるサブネットと信頼できないサブネット) を設定します。
2. 仮想アプライアンスを指すすべての RFC1918 サブネットのカスタム ルートを構成します。

（D）1. 1 つの VPC に 2 つのサブネット (信頼できるサブネットと信頼できないサブネット) を設定します。
2. 仮想アプライアンスを指すすべてのトラフィック (0.0.0.0/0) のカスタム ルートを構成します。

（A）出力ファイアウォール ルールが送信トラフィックを許可していることを検証します。 各 VM にログインし、OS 固有の更新コマンドを実行します。 毎日の更新については、重要なパッチで毎日更新するように Cloud Scheduler ジョブを構成します。

（B）VM Manager が VM にインストールされ、実行されていることを確認します。OSパッチ管理サービスにて。重要なパッチを毎日更新するようにパッチ ジョブを設定します。

（C）最新のパッチを Cloud Storage バケットにコピーします。各 VM にログインします。バケットからパッチをダウンロードしてインストールします。

（D）VM にパブリック IP を割り当てます。エグレス ファイアウォール ルールがすべての送信トラフィックを許可していることを検証します 各 VM にログインします。また、毎日の cron ジョブを設定して、アクティビティが少ない夜間に OS アップデートを有効にします。

（A）1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
2. 認証フィールドで、App Engine のデフォルト サービス アカウントと一致する電子メール アドレスをクリックします。
3. [一致するエントリを表示] をクリックします。
4.結果のリストが空であることを確認します。

（B）1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
2. 認証フィールドで、App Engine のデフォルト サービス アカウントと一致する電子メール アドレスをクリックします。
3. [一致するエントリを非表示] をクリックします。
4.結果のリストが空であることを確認します。

（C）1. BigQuery で、関連するデータセットを選択します。
2. App Engine のデフォルト サービス アカウントが、データセットに書き込むことができる唯一のアカウントであることを確認します。

（D）1. プロジェクトの IAM セクションに移動します。
2. App Engine のデフォルト サービス アカウントが、BigQuery に書き込むことができるロールを持つ唯一のアカウントであることを確認します。