問題集は全額返金保証付きのProfessional-Cloud-Security-Engineer日本語問題集最大50%オフ [Q67-Q85]

Share

問題集は全額返金保証付きのProfessional-Cloud-Security-Engineer日本語問題集最大50%オフ

更新されたのは2025年05月合格させるProfessional-Cloud-Security-Engineer日本語試験にはリアル練習テスト問題

質問 # 67
組織では、アプリケーション環境 (prod と dev) を分離するために最上位フォルダーを使用しています。開発者はすべてのアプリケーション開発監査ログを参照する必要がありますが、運用ログを確認することは許可されていません。セキュリティ チームは、運用環境および開発環境のすべてのログを確認できます。最小限の権限を確保しながら、開発者とセキュリティ チームに適切なリソース レベルで Identity and Access Management (1AM) ロールを付与する必要があります。
あなたは何をするべきか?

  • A. * 1 ロギングを許可します。閲覧者は、組織リソース レベルでセキュリティ チームに割り当てられます。
    ※2 ロギングを許可します。組織リソースレベルで開発者チームに管理者の役割を与えます。
  • B. * 1 組織リソースレベルでセキュリティチームにlogging.adminロールを付与します。
    ※2 組織リソースレベルで開発者チームにlogging.adminロールを付与します。
  • C. * 1 組織リソース レベルでセキュリティ チームにロギング、閲覧者の暗記を許可します。
    * 2 すべての開発プロジェクトを含むフォルダー リソース レベルで、開発者チームにロギング、ビューアーのローテーションを付与します。
  • D. * 1 組織リソースレベルでセキュリティチームにlogging.adminロールを付与します。
    ※2 ロギングを許可します。ビューアは、すべての開発プロジェクトを含むフォルダー リソース レベルで開発者チームに割り当てられます。

正解:C


質問 # 68
顧客は、認証局 (CA) を備えたオンプレミスの公開キー基盤 (PKI) を持っています。多くの HTTP ロード バランサー フロントエンドに対して証明書を発行する必要があります。オンプレミス PKI は多くの手動プロセスによる影響を最小限に抑える必要があり、ソリューションは拡張する必要があります。
あなたは何をするべきか?

  • A. オンプレミスの PKI システムから Google 認証局サービスの下位 CA を使用して、ロード バランサーの証明書を発行します。
  • B. オンプレミスの OpenSSL に基づいて下位 CA から発行された PKCS12 証明書を持つ Web アプリケーションを使用します。インポートには gcloud ツールを使用します。外部 HTTP ロード バランサの代わりに、外部 TCP/UDP ネットワーク ロード バランサを使用します。
  • C. 証明書マネージャーを使用して、Google 管理の公開証明書を発行し、HTTP でそれをコードとしてのインフラストラクチャ (laC) のロード バランサーに構成します。
  • D. 証明書マネージャーを使用して、オンプレミス PKI から発行された証明書とフロントエンド用の証明書をインポートします。gcloud ツールをインポートに活用する

正解:A

解説:
This approach allows you to leverage your existing on-premises PKI infrastructure while minimizing its impact and manual processes. By creating a subordinate CA in Google's Certificate Authority Service, you can automate the process of issuing certificates for your HTTP load balancer frontends. This solution scales well as the number of load balancers increases.


質問 # 69
あなたは会社のセキュリティ管理者です。Cloud Storage バケットには 3,000 個のオブジェクトがあります。各オブジェクトへのアクセスを個別に管理する必要はありません。また、オブジェクトのアップローダーが常にオブジェクトを完全に制御できるようにする必要もありません。ただし、Cloud Audit Logs を使用してバケットへのアクセスを管理したいと考えています。
あなたは何をするべきか?

  • A. デフォルトのバケット ACL を設定し、IAM を使用してユーザーのアクセスを管理します。
  • B. allUsers のスコープに READER 権限を持つ ACL を設定します。
  • C. Cloud Storage バケットに均一なバケットレベルのアクセスを設定し、IAM を使用してユーザーのアクセスを管理します。
  • D. allUsers のスコープに OWNER 権限を持つ ACL を設定します。

正解:C

解説:
https://cloud.google.com/storage/docs/uniform-bucket-level-access#enabled


質問 # 70
アプリケーション ログを Cloud Storage にエクスポートしています。ログシンクが均一なバケットレベルのアクセス ポリシーをサポートしていないというエラー メッセージが表示されます。このエラーをどのように解決する必要がありますか?

  • A. 正しいバケットの宛先でシンクを更新します。
  • B. roles/logging.logWriter Identity and Access Management (IAM) ロールをログ シンク ID のバケットに追加します。
  • C. バケットのアクセス制御モデルを変更します
  • D. roles/logging.bucketWriter Identity and Access Management (IAM) ロールをログ シンク ID のバケットに追加します。

正解:C

解説:
https://cloud.google.com/logging/docs/export/troubleshoot#errors_exporting_to_cloud_storage
https://cloud.google.com/logging/docs/export/troubleshoot
Unable to grant correct permissions to the destination: Even if the sink was successfully created with the correct service account permissions, this error message displays if the access control model for the Cloud Storage bucket was set to uniform access when the bucket was created. For existing Cloud Storage buckets, you can change the access control model for the first 90 days after bucket creation by using the Permissions tab. For new buckets, select the Fine-grained access control model during bucket creation. For details, see Creating Cloud Storage buckets.


質問 # 71
あなたは会社のインシデント対応計画を策定しています。DevOps チームが Google Cloud 環境でのデプロイの問題を確認および調査するときに使用するアクセス戦略を定義する必要があります。主な要件は次の 2 つです。
* 最小特権アクセスを常に実施する必要があります。
* DevOps チームは、展開の問題の間のみ、必要なリソースにアクセスできる必要があります。
Google が推奨するベスト プラクティスに従いながら、どのようにアクセスを許可する必要がありますか?

  • A. サービス アカウントを作成し、プロジェクト オーナーの 1AM ロールを付与します。このサービス アカウントのサービス アカウント ユーザー ロールを DevOps チームに付与します。
  • B. リスト/ビュー権限が制限されたカスタム 1AM ロールを作成し、DevOps チームに割り当てます。
  • C. サービス アカウントを作成し、制限付きのリスト/表示権限を付与します。このサービス アカウントのサービス アカウント ユーザー ロールを DevOps チームに付与します。
  • D. Project Viewer Identity and Access Management (1AM) ロールを DevOps チームに割り当てます。

正解:C


質問 # 72
あなたは組織の Cloud Identity 管理者です。Google Cloud 環境では、グループはユーザー権限を管理するために使用されます。各アプリケーション チームには専用のグループがあります。これらのグループの作成はチームが担当し、アプリケーション チームは Google Cloud コンソールを通じて独自にチーム メンバーを管理できます。アプリケーション チームが組織内のユーザーのみをグループに追加できるようにする必要があります。
あなたは何をするべきか?

  • A. グループ メンバーシップを組織に属するユーザー プリンシパルに制限する条件を含む Identity and Access Management (1AM) ポリシーを設定します。
  • B. スコープ内のグループへの組織外のプリンシパルの割り当てを拒否する Identity and Access Management (IAM) 拒否ポリシーを定義します。
  • C. Cloud Identity ログを BigQuery にエクスポートします。 グループに追加された外部メンバーに対するアラートを構成します。 アラートによって、グループから外部メンバーを削除する Cloud Function インスタンスがトリガーされます。
  • D. Google Workspace 管理コンソールで関連するグループの設定を変更し、外部ユーザーがグループに追加されないようにします。

正解:A


質問 # 73
ブート ディスクのソースとして使用できるイメージを制限したい。これらの画像は、専用のプロジェクトに保存されます。
あなたは何をするべきか?

  • A. Resource Manager で、信頼済みプロジェクトのプロジェクト パーミッションを編集します。Compute Image User というロールを持つメンバーとして組織を追加します。
  • B. 組織ポリシー サービスを使用して、組織レベルで compute.trustedimageProjects 制約を作成します。許可操作で、信頼できるプロジェクトをホワイトリストとしてリストします。
  • C. 組織ポリシー サービスを使用して、組織レベルで compute.trustedimageProjects 制約を作成します。信頼できるプロジェクトを拒否操作の例外としてリストします。
  • D. Resource Manager で、組織のアクセス許可を編集します。役割を持つメンバーとしてプロジェクト ID を追加します: Compute Image User。

正解:B

解説:
Explanation
https://cloud.google.com/compute/docs/images/restricting-image-access#trusted_images


質問 # 74
あなたの会社は、顧客が年齢層に応じて信用スコアを改善するために構築できる製品を決定したいと考えています。これを実現するには、会社のバンキング アプリのユーザー情報を、サード パーティから受け取った顧客のクレジット スコア データと結合する必要があります。この生データを使用すると、このタスクを完了することができますが、機密データが公開され、新しいシステムに伝播される可能性があります。
このリスクは、データベース全体の参照整合性を維持しながら、Cloud Data Loss Prevention による匿名化とトークン化を使用して対処する必要があります。これらの要件を満たすには、どの暗号化トークン形式を使用する必要がありますか?

  • A. 暗号ハッシュ
  • B. フォーマット保存暗号化
  • C. 安全な鍵ベースのハッシュ
  • D. 確定的暗号化

正解:D

解説:
"This encryption method is reversible, which helps to maintain referential integrity across your database and has no character-set limitations." https://cloud.google.com/blog/products/identity-security/take-charge-of-your-data-how-tokenization-makes-data-usable-without-sacrificing-privacy
https://cloud.google.com/dlp/docs/pseudonymization
FPE provides fewer security guarantees compared to other deterministic encryption methods such as AES-SIV. For these reasons, Google strongly recommends using deterministic encryption with AES-SIV instead of FPE for all security sensitive use cases. Other methods like deterministic encryption using AES-SIV provide these stronger security guarantees and are recommended for tokenization use cases unless length and character set preservation are strict requirements-for example, for backward compatibility with a legacy data system.


質問 # 75
gcloud コマンドライン ツールを使用して、サードパーティのシングル サインオン(SSO)SAML ID プロバイダを使用して認証したいと考えています。認証がサードパーティ ID プロバイダー (IdP) によってサポートされていることを確認するには、どのオプションが必要ですか? (2つ選んでください。)

  • A. OpenID コネクト
  • B. クラウド ID
  • C. ID 認識プロキシ
  • D. サードパーティ IdP としての SSO SAML
  • E. ID プラットフォーム

正解:A、D

解説:
Explanation
To provide users with SSO-based access to selected cloud apps, Cloud Identity as your IdP supports the OpenID Connect (OIDC) and Security Assertion Markup Language 2.0 (SAML) protocols.
https://cloud.google.com/identity/solutions/enable-sso


質問 # 76
あなたのチームは、プロジェクト co-vpc-prod がホスト プロジェクトである共有 VPC ネットワークを設定します。あなたのチームは、ホスト プロジェクトでファイアウォール ルール、サブネット、および VPN ゲートウェイを構成しました。エンジニアリング グループ A が Compute Engine インスタンスを 10.1.1.0/24 サブネットのみに接続できるようにする必要があります。
この要件を満たすために、あなたのチームはエンジニアリング グループ A に何を付与する必要がありますか?

  • A. サブネット レベルでの Compute ネットワーク ユーザー ロール。
  • B. ホスト プロジェクト レベルでのコンピューティング ネットワーク ユーザーの役割。
  • C. サービス プロジェクト レベルで共有 VPC 管理者ロールを計算します。
  • D. ホスト プロジェクト レベルで共有 VPC 管理者ロールを計算します。

正解:A

解説:
Explanation
https://cloud.google.com/vpc/docs/shared-vpc#svc_proj_admins
https://cloud.google.com/vpc/docs/shared-vpc#svc_proj_admins


質問 # 77
ある企業は、ミッションクリティカルなアプリケーションのコンテナ イメージで Google Kubernetes Engine(GKE)を使用しています。その企業は、イメージをスキャンして既知のセキュリティ問題がないか確認し、レポートを Google Cloud の外部に公開することなくセキュリティ チームと安全に共有したいと考えています。
あなたは何をするべきか?

  • A. * 1. Artifact Registry 設定で脆弱性スキャンを有効にします。
    * 2. Cloud Build を使用してイメージをビルドします
    * 3. 自動スキャンのために画像を A​​rtifact Registry にプッシュします。
    * 4. Artifact Registry のレポートを表示します。
  • B. 1. Security Command Center プレミアム レベルで Container Threat Detection を有効にします。
    * 2. サポートされているバージョンの GKE にないすべてのクラスタを、可能な最新の GKE バージョンにアップグレードします。
    * 3. Security Command Center からの結果の表示と共有
  • C. * 1. GitHub サブスクリプションを取得します。
    * 2. Cloud Build でイメージをビルドし、自動スキャンのために GitHub に保存します。
    * 3. GitHub からレポートをダウンロードし、セキュリティ チームと共有します
  • D. * 1. Cloud Build のオープンソース ツールを使用してイメージをスキャンします。
    * 2. gsutil を使用して、Cloud Storage の一般にアクセスできるバケットにレポートをアップロードします。
    * 3. スキャン レポートのリンクをセキュリティ部門と共有します。

正解:A

解説:
Explanation
"The service evaluates all changes and remote access attempts to detect runtime attacks in near-real time." :
https://cloud.google.com/security-command-center/docs/concepts-container-threat-detection-overview This has nothing to do with KNOWN security Vulns in images


質問 # 78
あなたは、各ビジネス ユニットに何千人ものユーザーがいる大規模な組織で働いています。アクセス制御権限の管理を各ビジネス ユニットに委任する必要があります。次の要件があります。
各ビジネス ユニットは、独自のプロジェクトのアクセス制御を管理します。
各ビジネス ユニットは、大規模なアクセス制御権限を管理します。
ビジネス ユニットは、他のビジネス ユニットのプロジェクトにアクセスできません。
ユーザーは、別のビジネス ユニットに異動したり会社を辞めたりすると、アクセスできなくなります。
ユーザーとアクセス制御のアクセス許可は、オンプレミスのディレクトリ サービスによって管理されます。
あなたは何をするべきか?(2つ選んでください。)

  • A. 組織単位 (OU) に基づいてビジネス ユニットをグループ化し、OU に基づいて権限を管理します。
  • B. プロジェクトをフォルダーに整理し、フォルダー レベルで Google グループに権限を割り当てます。
  • C. プロジェクトの命名規則を作成し、Google の IAM Conditions を使用して、プロジェクト名のプレフィックスに基づいてアクセスを管理します。
  • D. Google Cloud Directory Sync を使用して、Cloud Identity のユーザーとグループ メンバーシップを同期します。
  • E. VPC Service Controls を使用して、各ビジネス ユニットのプロジェクトの周囲に境界を作成します。

正解:B、D


質問 # 79
お客様のデータ サイエンス グループは、分析ワークロードに Google Cloud Platform (GCP) を使用したいと考えています。
会社のポリシーでは、すべてのデータは会社所有でなければならず、すべてのユーザー認証は独自の Security Assertion Markup Language (SAML) 2.0 ID プロバイダー (IdP) を経由する必要があると規定されています。インフラストラクチャ オペレーション システム エンジニアは、お客様のために Cloud Identity を設定しようとしていたところ、お客様のドメインがすでに G Suite で使用されていることに気付きました。
混乱を最小限に抑えて作業を進めるには、システム エンジニアにどのようにアドバイスすればよいですか?

  • A. データ サイエンス マネージャーのアカウントを既存のドメインのスーパー管理者としてプロビジョニングするよう Google に依頼します。
  • B. 新しいドメイン名を登録し、それを新しい Cloud Identity ドメインに使用します。
  • C. お客様の経営陣に、Google マネージド サービスの他の用途を発見するよう依頼し、既存のスーパー管理者と協力します。
  • D. Google サポートに連絡し、ドメイン競合プロセスを開始して、新しい Cloud Identity ドメインでドメイン名を使用してください。

正解:C

解説:
https://support.google.com/cloudidentity/answer/7389973


質問 # 80
組織のオンプレミス ネットワークを、Production と Non-Production という名前の 2 つのサブネットを持つ 1 つの共有 VPC を含む既存の GCP 環境に接続する必要があります。次のことを行う必要があります。
プライベート トランスポート リンクを使用します。
オンプレミス環境からのプライベート API エンドポイントを介して Google Cloud APIs へのアクセスを構成します。
Google Cloud API が VPC Service Controls 経由でのみ使用されるようにします。
あなたは何をするべきか?

  • A. 1. オンプレミス環境と Google Cloud の間に Dedicated Interconnect リンクを設定します。
    2. オンプレミスの DNS 構成で、restricted.googleapis.com ドメインを使用してプライベート アクセスを構成します。
  • B. 1. オンプレミス環境と Google Cloud の間に Partner Interconnect リンクを設定します。
    2. オンプレミスの DNS 構成で private.googleapis.com ドメインを使用してプライベート アクセスを構成します。
  • C. 1. オンプレミス環境と Google Cloud の間にダイレクト ピアリング リンクを設定します。
    2. 両方の VPC サブネットにプライベート アクセスを設定します。
  • D. 1. オンプレミス環境と Google Cloud の間に Cloud VPN リンクを設定します。
    2. オンプレミスの DNS 構成で、制限付きの googleapis.com ドメインを使用してプライベート アクセスを構成します。

正解:A

解説:
restricted.googleapis.com (199.36.153.4/30) only provides access to Cloud and Developer APIs that support VPC Service Controls. VPC Service Controls are enforced for these services https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid


質問 # 81
あなたのチームは、オンプレミスの Active Directory サービスから GCP IAM 権限を一元管理したいと考えています。
あなたのチームは、AD グループ メンバーシップによってアクセス許可を管理したいと考えています。
これらの要件を満たすために、あなたのチームは何をすべきですか?

  • A. Cloud Identity and Access Management API を使用して、Active Directory からグループと IAM 権限を作成します。
  • B. SAML 2.0 シングル サインオン (SSO) をセットアップし、グループに IAM 権限を割り当てます。
  • C. Admin SDK を使用してグループを作成し、Active Directory から IAM 権限を割り当てます。
  • D. Cloud Directory Sync をセットアップしてグループを同期し、グループに IAM 権限を設定します。

正解:D

解説:
Explanation
"In order to be able to keep using the existing identity management system, identities need to be synchronized between AD and GCP IAM. To do so google provides a tool called Cloud Directory Sync. This tool will read all identities in AD and replicate those within GCP. Once the identities have been replicated then it's possible to apply IAM permissions on the groups. After that you will configure SAML so google can act as a service provider and either you ADFS or other third party tools like Ping or Okta will act as the identity provider. This way you effectively delegate the authentication from Google to something that is under your control."


質問 # 82
あなたの会社の最高情報セキュリティ責任者 (CISO) は、会社のグローバル展開計画に影響を与える規制要件のために、ビジネス データを特定の場所に保存する必要があるという要件を作成します。
この要件を実装するための詳細に取り組んだ後、次のことを決定します。
対象となるサービスは、Google Cloud Data Residency Terms に含まれています。
ビジネス データは、同じ組織の特定の場所に残ります。
フォルダー構造には、複数のデータ常駐場所を含めることができます。
リソースの場所の制限という組織ポリシーの制約を使用する予定です。リソース階層のどのレベルで制約を設定する必要がありますか?

  • A. 組織
  • B. リソース
  • C. プロジェクト
  • D. フォルダ

正解:C

解説:
https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations


質問 # 83
Google Cloud 環境には、組織ノードが 1 つと、Apps という名前のフォルダが 1 つあり、そのフォルダ内に複数のプロジェクトがあります。組織ノードは、terramearth.com 組織のメンバーを許可するconstraints/iam.allowedPolicyMemberDomains組織ポリシーを適用します。「Apps」フォルダは、 constraints/iam.allowedPolicyMemberDomains 組織ポリシーは、flowlogistic.com 組織のメンバーを許可します。これには、inheritFromParent: false プロパティもあります。
Apps フォルダー内のプロジェクトへのアクセスをユーザー [email protected] に許可しようとします。
あなたの行動の結果は何ですか、またその理由は何ですか?

  • A. すべてのポリシーが基になるフォルダーとプロジェクトに継承されるため、アクションは成功し、新しいメンバーがプロジェクトの Identity and Access Management (1AM) ポリシーに正常に追加されます。
  • B. Terramearth という両方の組織のメンバーであるため、アクションは成功します。com または flowlogistic.com は、「Apps」フォルダー内のプロジェクトで許可されます
  • C. constraints/iam.allowedPolicyMemberDomains 組織ポリシーが設定されており、flowlogistic.com 組織のメンバーのみが許可されているため、アクションは失敗します。
  • D. 制約を一時的に非アクティブ化するには、現在のプロジェクトでconstraints/iam.allowedPolicyMemberDomains組織ポリシーを定義する必要があるため、アクションは失敗します。

正解:C

解説:
The action fails because a constraints/iam.allowedPolicyMemberDomains organization policy is in place and only members from the flowlogistic.com organization are allowed. The inheritFromParent: false property on the "Apps" folder means that it does not inherit the organization policy from the organization node. Therefore, only the policy set at the folder level applies, which allows only members from the flowlogistic.com organization. As a result, the attempt to grant access to the user [email protected] fails because this user is not a member of the flowlogistic.com organization.


質問 # 84
セキュリティ脆弱性評価を完了した後、クラウド管理者が Google Cloud CLI セッションを開いたまま数日間放置していることがわかりました。これらのオープンセッションを最小限の期間に設定することで、攻撃者がこれらのオープンセッションを悪用するリスクを軽減する必要があります。
あなたは何をするべきか?

  • A. 組織ポリシーの制約を設定します。
    constraints/iam.allowServiceAccountCredentialLifetimeExtension を 1 時間に設定します。
  • B. 組織ポリシーの制約制約/iam を設定します。serviceAccountKeyExpiryHours を 1 時間に、inheritFromParent を false に設定します。
  • C. Google セッション コントロールのセッション期間を 1 時間に設定します。
  • D. 再認証の頻度を設定します (または Google Cloud Session Control を 1 時間に設定します)。

正解:D


質問 # 85
......

無料ダウンロードGoogle Professional-Cloud-Security-Engineer日本語リアル試験問題:https://jp.fast2test.com/Professional-Cloud-Security-Engineer-JPN-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어