Google Cloud Certified Professional-Cloud-Security-Engineer日本語 最新問題集 2024年07月09日 に更新されました [Q10-Q26]

Share

Google Cloud Certified Professional-Cloud-Security-Engineer日本語最新問題集で2024年07月09日

2024年最新の問題をマスター!Google Cloud Certified合格目指そう!Professional-Cloud-Security-Engineer日本語リアル試験問題集!

質問 # 10
コンプライアンス上の理由から、組織は、スコープ内の PCI Kubernetes Pod が「スコープ内」のノードにのみ存在するようにする必要があります。これらのノードには、「範囲内」の Pod のみを含めることができます。
組織はこの目的をどのように達成すべきか?

  • A. ラベル inscope: true を使用してノード プールを作成し、Pod がそのラベルを持つノードでのみ実行できるようにする Pod セキュリティ ポリシーを作成します。
  • B. 名前空間「in-scope-pci」でスコープ内のすべての Pod を実行します。
  • C. nodeSelector フィールドを Pod 構成に追加して、inscope: true というラベルの付いたノードのみを使用します。
  • D. ラベル inscope: true を使用してノードにテイントを配置し、Pod 構成で一致する NoSchedule と toleration を有効にします。

正解:C

解説:
Explanation
nodeSelector is the simplest recommended form of node selection constraint. You can add the nodeSelector field to your Pod specification and specify the node labels you wantthe target node to have. Kubernetes only schedules the Pod onto nodes that have each of the labels you specify. =>
https://kubernetes.io/docs/concepts/scheduling-eviction/assign-pod-node/#nodeselector Tolerations are applied to pods. Tolerations allow the scheduler to schedule pods with matching taints. Tolerations allow scheduling but don't guarantee scheduling: the scheduler also evaluates other parameters as part of its function.
=>https://kubernetes.io/docs/concepts/scheduling-eviction/taint-and-toleration/


質問 # 11
Google Cloud 環境には、組織ノードが 1 つと、Apps という名前のフォルダが 1 つあり、そのフォルダ内に複数のプロジェクトがあります。組織ノードは、terramearth.com 組織のメンバーを許可するconstraints/iam.allowedPolicyMemberDomains組織ポリシーを適用します。「Apps」フォルダは、 constraints/iam.allowedPolicyMemberDomains 組織ポリシーは、flowlogistic.com 組織のメンバーを許可します。これには、inheritFromParent: false プロパティもあります。
Apps フォルダー内のプロジェクトへのアクセスをユーザー [email protected] に許可しようとします。
あなたの行動の結果は何ですか、またその理由は何ですか?

  • A. 制約を一時的に非アクティブ化するには、現在のプロジェクトでconstraints/iam.allowedPolicyMemberDomains組織ポリシーを定義する必要があるため、アクションは失敗します。
  • B. Terramearth という両方の組織のメンバーであるため、アクションは成功します。com または flowlogistic.com は、「Apps」フォルダー内のプロジェクトで許可されます
  • C. すべてのポリシーが基になるフォルダーとプロジェクトに継承されるため、アクションは成功し、新しいメンバーがプロジェクトの Identity and Access Management (1AM) ポリシーに正常に追加されます。
  • D. constraints/iam.allowedPolicyMemberDomains 組織ポリシーが設定されており、flowlogistic.com 組織のメンバーのみが許可されているため、アクションは失敗します。

正解:D

解説:
Explanation
The action fails because a constraints/iam.allowedPolicyMemberDomains organization policy is in place and only members from the flowlogistic.com organization are allowed. The inheritFromParent: false property on the "Apps" folder means that it does not inherit the organization policy from the organization node. Therefore, only the policy set at the folder level applies, which allows only members from the flowlogistic.com organization. As a result, the attempt to grant access to the user [email protected] fails because this user is not a member of the flowlogistic.com organization.


質問 # 12
アプリケーション ログを Cloud Storage にエクスポートしています。ログシンクが均一なバケットレベルのアクセス ポリシーをサポートしていないというエラー メッセージが表示されます。このエラーをどのように解決する必要がありますか?

  • A. roles/logging.logWriter Identity and Access Management (IAM) ロールをログ シンク ID のバケットに追加します。
  • B. 正しいバケットの宛先でシンクを更新します。
  • C. roles/logging.bucketWriter Identity and Access Management (IAM) ロールをログ シンク ID のバケットに追加します。
  • D. バケットのアクセス制御モデルを変更します

正解:D

解説:
Explanation
https://cloud.google.com/logging/docs/export/troubleshoot#errors_exporting_to_cloud_storage
https://cloud.google.com/logging/docs/export/troubleshoot
Unable to grant correct permissions to the destination: Even if the sink was successfully created with the correct service account permissions, this error message displays if the access control model for the Cloud Storage bucket was set to uniform access when the bucket was created. For existing Cloud Storage buckets, you can change the access control model for the first 90 days after bucket creation by using the Permissions tab. For new buckets, select the Fine-grained access control model during bucket creation. For details, see Creating Cloud Storage buckets.


質問 # 13
あなたは会社のセキュリティ管理者です。Cloud IAM の LDAP ディレクトリからのメールアドレスを持つすべてのセキュリティ グループを同期したいと考えています。
あなたは何をするべきか?

  • A. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
    双方向同期を容易にするための属性として「ユーザーの電子メールアドレス」。
  • B. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
    一方向の同期を容易にする属性として「ユーザーの電子メールアドレス」。
  • C. 管理ツールを使用して、電子メール アドレス属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。
  • D. 管理ツールを使用して、グループ オブジェクト クラスの属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。

正解:B

解説:
Explanation
search rules that have "user email address" as the attribute to facilitate one-way sync. Reference Links:
https://support.google.com/a/answer/6126589?hl=en


質問 # 14
Cloud Key Management Service(KMS)によって管理される鍵を使用して、Compute Engine ディスク上のデータを保存時に暗号化する必要があります。これらのキーに対する Cloud Identity and Access Management (IAM) のアクセス許可は、グループ化された方法で管理する必要があります。これは、アクセス許可がすべてのキーに対して同じである必要があるためです。
あなたは何をするべきか?

  • A. すべての永続ディスクとこのキーリング内のすべてのキーに対して単一のキーリングを作成します。キー レベルで IAM 権限を管理します。
  • B. 永続ディスクごとに KeyRing を作成します。各 KeyRing には単一のキーが含まれます。キー レベルで IAM 権限を管理します。
  • C. すべての永続ディスクとこのキーリング内のすべてのキーに対して単一のキーリングを作成します。KeyRing レベルで IAM 権限を管理します。
  • D. 永続ディスクごとに KeyRing を作成します。各 KeyRing には 1 つのキーが含まれます。KeyRing レベルで IAM 権限を管理します。

正解:C

解説:
Explanation
https://cloud.netapp.com/blog/gcp-cvo-blg-how-to-use-google-cloud-encryption-with-a-persistent-disk


質問 # 15
管理者とアナリストの両方がアクセスできる共有 Cloud Storage バケットにアプリケーション ログをバックアップしています。アナリストは、個人を特定できる情報 (PII) を含むログにアクセスできません。PII を含むログ ファイルは、管理者だけがアクセスできる別のバケットに保存する必要があります。あなたは何をするべきか?

  • A. 共有バケットで、Pll がアップロードされたときにのみトリガーされる Cloud Storage トリガーを構成します。Cloud Functions を使用してトリガーをキャプチャし、Pll を含むファイルを削除します。
  • B. 共有バケットで、Pll を含むオブジェクトを削除するようにオブジェクト ライフサイクル管理を構成します。
  • C. ファイルが管理者のバケットにアップロードされるたびに、Pub/Sub と Cloud Functions を使用して Cloud Data Loss Prevention スキャンをトリガーします。スキャンで Pll が検出されない場合は、関数でオブジェクトを共有 Cloud Storage バケットに移動します。
  • D. 共有バケットと、管理者のみがアクセスできる Pll を使用するバケットの両方にログをアップロードします。Cloud Data Loss Prevention API を使用して、ジョブ トリガーを作成します。Pll を含むすべてのファイルを共有バケットから削除するようにトリガーを構成します。

正解:B


質問 # 16
データベース管理者は、Cloud SQL インスタンス内での悪意のあるアクティビティに気付きました。データベース管理者は、リソースの構成またはメタデータを読み取る API 呼び出しを監視したいと考えています。データベース管理者はどのログを確認する必要がありますか?

  • A. データアクセス
  • B. アクセスの透明性
  • C. システムイベント
  • D. 管理者の活動

正解:A

解説:
Explanation
https://cloud.google.com/logging/docs/audit/#data-access "Data Access audit logs contain API calls that read the configuration or metadata of resources, as well as user-driven API calls that create, modify, or read user-provided resource data."


質問 # 17
あなたは、プライベート クラウドから Google Cloud へのデータの移行を検討している組織のコンサルタントです。組織のコンプライアンス チームは Google Cloud に精通しておらず、Google Cloud でコンプライアンス要件を満たす方法についてガイダンスを必要としています。特定のコンプライアンス要件の 1 つは、お客様の保存データが特定の地理的境界内に存在することです。組織が Google Cloud でデータ所在地の要件を満たすために推奨するオプションはどれですか?

  • A. 組織ポリシー サービスの制約
  • B. アクセス制御リスト
  • C. Google クラウド アーマー
  • D. シールドされた VM インスタンス
  • E. 位置情報アクセス制御

正解:A

解説:
Explanation
https://cloud.google.com/resource-manager/docs/organization-policy/using-constraints#list-constraint


質問 # 18
組織は以前、Google 管理の暗号化キー (GMEK) を使用してファイルを Cloud Storage に保存していました。しかし最近、顧客管理の暗号化キー (CMEK) を要求するように内部ポリシーが更新されました。最小限のコストでファイルを迅速かつ効率的に再暗号化する必要があります。
あなたは何をするべきか?

  • A. バケットの暗号化タイプを CMEK に変更し、オブジェクトを書き換えます。
  • B. ファイルをローカルで暗号化し、gsutil を使用してファイルを新しいバケットにアップロードします。
  • C. gsutil を使用して、キー ファイルを指定してファイルを同じ Cloud Storage バケットに再アップロードします。
  • D. セカンダリ リージョンで CMEK が有効になっている新しいバケットにファイルをコピーします。

正解:A

解説:
Rewriting the objects in-place within the same bucket, specifying the new CMEK for encryption, allows you to re-encrypt the data without downloading and re-uploading it, thus minimizing costs and time.
https://cloud.google.com/storage/docs/encryption/using-customer-managed-keys


質問 # 19
Google Cloud フットプリントのネットワーク セグメンテーションを監査する必要があります。現在、本番環境および非本番環境のサービスとしてのインフラストラクチャ (IaaS) 環境を運用しています。すべての VM インスタンスは、サービス アカウントのカスタマイズなしでデプロイされます。
カスタム ネットワークのトラフィックを観察した後、タグベースの VPC ファイアウォール ルールがトラフィックを適切にセグメント化するために配置されているにもかかわらず、すべてのインスタンスが優先度 1000 で自由に通信できることに気付きました。この動作の最も可能性の高い理由は何ですか?

  • A. すべての VM インスタンスにそれぞれのネットワーク タグがありません。
  • B. VPC ファイアウォール ルールは、優先度 999 の同じサービス アカウントに基づいて、ソース/ターゲット間のトラフィックを許可しています。
  • C. VPC ファイアウォール ルールは、優先度 1001 の同じサービス アカウントに基づいて、ソース/ターゲット間のトラフィックを許可しています。
  • D. すべての VM インスタンスが同じネットワーク ルートで構成されます。
  • E. すべての VM インスタンスが同じネットワーク サブネットに存在します。

正解:A、B


質問 # 20
あなたのチームは、オンプレミスの Active Directory サービスから GCP IAM 権限を一元管理したいと考えています。
あなたのチームは、AD グループ メンバーシップによってアクセス許可を管理したいと考えています。
これらの要件を満たすために、あなたのチームは何をすべきですか?

  • A. SAML 2.0 シングル サインオン (SSO) をセットアップし、グループに IAM 権限を割り当てます。
  • B. Admin SDK を使用してグループを作成し、Active Directory から IAM 権限を割り当てます。
  • C. Cloud Identity and Access Management API を使用して、Active Directory からグループと IAM 権限を作成します。
  • D. Cloud Directory Sync をセットアップしてグループを同期し、グループに IAM 権限を設定します。

正解:D

解説:
Explanation
"In order to be able to keep using the existing identity management system, identities need to be synchronized between AD and GCP IAM. To do so google provides a tool called Cloud Directory Sync. This tool will read all identities in AD and replicate those within GCP. Once the identities have been replicated then it's possible to apply IAM permissions on the groups. After that you will configure SAML so google can act as a service provider and either you ADFS or other third party tools like Ping or Okta will act as the identity provider. This way you effectively delegate the authentication from Google to something that is under your control."


質問 # 21
顧客がアプリケーションを App Engine にデプロイし、Open Web Application Security Project (OWASP) の脆弱性を確認する必要があります。
これを実現するには、どのサービスを使用する必要がありますか?

  • A. クラウドアーマー
  • B. Google Cloud 監査ログ
  • C. クラウド セキュリティ スキャナー
  • D. Forseti セキュリティ

正解:C

解説:
Reference:
Web Security Scanner supports categories in the OWASP Top Ten, a document that ranks and provides remediation guidance for the top 10 most critical web application security risks, as determined by the Open Web Application Security Project (OWASP). https://cloud.google.com/security-command-center/docs/concepts-web-security-scanner-overview#detectors_and_compliance


質問 # 22
あなたの組織は多くのオープンソース プロジェクトに関わるソフトウェアを開発しており、ソフトウェア サプライ チェーンの脅威を懸念しています。ソフトウェアが改ざんされていないことを証明するには、ビルドの出所を証明する必要があります。
あなたは何をするべきか?

  • A. * 1. 出所を確認して提供するために外部監査人を雇う
    * 2. 範囲と条件を定義します。
    * 3. セキュリティ部門または担当者からサポートを受けてください。
  • B. * 1 - Cloud Build を使用して、ソフトウェア アーティファクトのサプライ チェーン レベル (SLSA) レベル 3 保証を生成します。
    * 2. Google Cloud コンソール内の [セキュリティ インサイト] サイド パネルでビルドの出所を確認します。
  • C. * 1、ソフトウェアコードをオープンソースとして GitHub に公開します。
    * 2. バグ報奨金プログラムを確立し、オープンソース コミュニティに脆弱性のレビュー、報告、修正を奨励します。
  • D. * 1. ソフトウェアのプロセスを見直します。
    * 2. 秘密キーと公開キーのペアを生成し、Pretty Good Privacy (PGP) プロトコルを使用して、企業の住所と連絡先を含むファイルとともに出力ソフトウェア アーティファクトに署名します。
    * 3. PGP 署名済み証明書を公開 Web ページに公開します。

正解:B

解説:
* 4. Publish the attestation to your public web page.
Explanation:
https://cloud.google.com/build/docs/securing-builds/view-build-provenance


質問 # 23
あなたは会社の新しい Google Cloud 組織の作成を担当しています。スーパー管理者アカウントを作成するときに実行する必要がある 2 つのアクションはどれですか? (2つ選んでください。)

  • A. 物理トークンを使用して、多要素認証 (MFA) でスーパー管理者の資格情報を保護します。
  • B. プライベート接続を使用してスーパー管理者アカウントを作成し、資格情報がインターネット経由で送信されないようにします。
  • C. Google Cloud Console の組織レベルで特権管理者の Identity and Access Management (1AM) ロールを無効にします。
  • D. 特権管理者ユーザーの日常的な活動のために、特権のない ID を提供します。
  • E. Google 管理コンソールでアクセス レベルを作成して、特権管理者が Google Cloud にログインできないようにします。

正解:A、D

解説:
https://cloud.google.com/resource-manager/docs/super-admin-best-practices#discourage_super_admin_account_usage
- Use a security key or other physical authentication device to enforce two-step verification - Give super admins a separate account that requires a separate login


質問 # 24
Cloud Data Loss Prevention (DLP) API の採用が企業内で拡大するにつれて、使用を最適化してコストを削減する必要があります。DLP ターゲット データは Cloud Storage と BigQuery に保存されます。場所と地域は、リソース名のサフィックスとして識別されます。
どのコスト削減オプションをお勧めしますか?

  • A. FindingLimits と TimespanContfig を使用してデータをサンプリングし、変換単位を最小化します。
  • B. rowsLimit と bytesLimitPerFile を使用してデータをサンプリングし、CloudStorageRegexFileSet を使用してスキャンを制限します。
  • C. 米国外でホストされている BigQuery データに適切な rowsLimit 値を設定し、マルチリージョンの Cloud Storage バケットに適切な bytesLimitPerFile 値を設定します。
  • D. 米国外でホストされている BigQuery データに適切な rowsLimit 値を設定し、マルチリージョンの Cloud Storage バケットの変換単位を最小限に抑えます。

正解:B

解説:
Explanation
https://cloud.google.com/dlp/docs/inspecting-storage#sampling
https://cloud.google.com/dlp/docs/best-practices-costs#limit_scans_of_files_in_to_only_relevant_files


質問 # 25
あなたの会社の最高情報セキュリティ責任者 (CISO) は、会社のグローバル展開計画に影響を与える規制要件のために、ビジネス データを特定の場所に保存する必要があるという要件を作成します。
この要件を実装するための詳細に取り組んだ後、次のことを決定します。
対象となるサービスは、Google Cloud Data Residency Terms に含まれています。
ビジネス データは、同じ組織の特定の場所に残ります。
フォルダー構造には、複数のデータ常駐場所を含めることができます。
リソースの場所の制限という組織ポリシーの制約を使用する予定です。リソース階層のどのレベルで制約を設定する必要がありますか?

  • A. リソース
  • B. フォルダ
  • C. プロジェクト
  • D. 組織

正解:C

解説:
https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations


質問 # 26
......

完全版は2024年最新のProfessional-Cloud-Security-Engineer日本語試験問題集テストガイドはトレーニング専門Fast2test:https://jp.fast2test.com/Professional-Cloud-Security-Engineer-JPN-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어