Professional-Cloud-Security-Engineer日本語 無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)」

（A）Security Command Center Premium の Secure Health Analytics 検出器を使用して、脆弱性と誤った構成をスキャンして警告します。

（B）Cloud Audit Logs にフィルタを設定して、特定のリスクのある API 呼び出しのログエントリにフラグを付け、Cloud Log Analytics ダッシュボードに呼び出しを表示します。

（C）イベント脅威検出検出器を使用して、環境内で検出された新たな攻撃を警告および追跡します。

（D）Cloud Asset Inventory にフィルタ セットを作成し、高い権限を持つサービス アカウントと Gmail ドメインの IAM プリンシパルを識別します。

（A）インポートしたキーマテリアルを使用して Cloud Key Management Service (KMS) キーを作成します。インポート中に保護するためにキーをラップします。信頼できるシステムで生成されたキーを Cloud KMS にインポートします。

（B）信頼できる外部システムで生成されたキーとともに、顧客提供の暗号化キー (CSEK) を使用します。
API 呼び出しの一部として生の CSEK を提供します。

（C）サポートされているベンダーの外部ハードウェア セキュリティ モジュール (HSM) システムと統合する Cloud External Key Management (EKM) を使用します。

（D）Google が管理する FIPS 140-2 レベル 3 ハードウェア セキュリティ モジュール (HSM) に保存される KMS キーを作成します。Identity and Access Management (IAM) の権限設定を管理し、キーのローテーション期間を設定します。

（A）Cloud HSM を使用した顧客管理の暗号鍵

（B）Cloud Key Management Service を使用した顧客管理の暗号鍵

（C）Google が管理する暗号鍵

（D）顧客提供の暗号化キー

（A）組織レベルでのプロジェクト編集者の役割を、指定されたユーザー グループに付与します。

（B）組織ポリシーの制約を作成し、組織レベルで適用します。

（C）請求先アカウントの作成者の役割を、指定された DevOps チームに付与します。

（D）組織レベルでプロジェクト作成者の役割からすべてのユーザーを削除します。

（E）指定されたユーザー グループを、組織レベルでプロジェクト作成者の役割に追加します。

（A）Container Analysis を使用してイメージ内の脆弱性を検出します。

（B）すべてのコンテナに Google 管理のベースイメージを使用します。

（C）すべてのコンテナ イメージの起動の一部として更新スクリプトを使用します。

（D）Container Registry でプライベートイメージのみを使用します。

（A）自動テキスト編集による Cloud Data Loss Prevention

（B）クラウド鍵管理サービス

（C）暗号ハッシュによるクラウド データ損失防止

（D）AES-SIV を使用した確定的暗号化による Cloud Data Loss Prevention

（E）シークレット マネージャー

（A）暗号化キーを Cloud Storage バケットにアップロードしてから、オブジェクトを同じバケットにアップロードします。

（B）Google Cloud Platform Console で暗号化キーを生成し、指定されたキーを使用してオブジェクトを Cloud Storage にアップロードします。

（C）gsutil コマンドライン ツールを使用してオブジェクトを Cloud Storage にアップロードし、暗号鍵の場所を指定します。

（D）オブジェクトを暗号化してから、gsutil コマンドライン ツールまたは Google Cloud Platform Console を使用してオブジェクトを Cloud Storage にアップロードします。

（A）バケット化を使用して、初期値に基づいて値を事前に決定された日付にシフトします。

（B）TimePartConfig を使用して各日付フィールドから日付を抽出し、ランダムな月と年を追加します。

（C）フォーマット保持暗号化 (FPE) の FFX モードを使用し、データの一貫性を維持します。

（D）コンテキストをテスト対象の一意の ID に設定して日付シフトを使用します。

（A）GitHub を ID プール プロバイダーとして使用するようにワークロード ID フェデレーションを構成します。

（B）Workload Identity を使用して GitHub に認証情報を提供する Google Kubernetes Engine クラスタを構成します。

（C）サービス アカウント キーを作成し、それを GitHub パイプライン構成ファイルに追加します。

（D）サービス アカウント キーを作成し、GitHub リポジトリ コンテンツに追加します。

（A）VPC Service Controls を有効にし、プロジェクト A と B の周囲に境界を作成し、Cloud Storage API をサービス境界構成に含めます。

（B）組織のポリシーでドメイン制限共有を有効にし、Cloud Storage バケットで均一なバケットレベルのアクセスを有効にします。

（C）ネットワーク間の通信を許可する厳格なファイアウォール ルールを使用して、プロジェクト A と B のネットワーク間の VPC ピアリングを有効にします。

（D）ネットワーク間の通信を許可する厳格なファイアウォール ルールを使用して、プロジェクト A と B の両方のネットワークでプライベート アクセスを有効にします。

（A）Google クラウド アーマー

（B）イベント脅威検出

（C）クラウド データ損失防止

（D）セキュリティ状況分析

（E）コンテナ脅威検出

（A）HTTPS ロード バランサーをセットアップし、本番環境に Cloud Armor を使用して潜在的な XSS 攻撃を防ぎます。

（B）IP アドレスまたはエンドユーザーのデバイス属性に基づいて Cloud IAP を使用して、脆弱性を防止および修正します。

（C）ステージングで Web Security Scanner を使用して XSS インジェクション攻撃をシミュレートし、コンテキストの自動エスケープをサポートするテンプレート システムを使用します。

（D）Web Security Scanner を使用して、コード内の古いライブラリの使用を検証し、含まれているライブラリのセキュリティで保護されたバージョンを使用します。

（A）毎日新しいキーを生成し、それをソース コード リポジトリにコミットする毎日のキー ローテーション プロセスを実装します。

（B）すべての開発者を含む Google グループを作成します。グループにサービス アカウント管理者の IAM ロールを割り当て、開発者が独自のキーを生成してダウンロードできるようにします。

（C）毎日のキーローテーション プロセスを実装し、開発者に毎日新しいキーをダウンロードできる Cloud Storage バケットを提供します。

（D）すべての開発者を含む Google グループを作成します。グループにサービス アカウント ユーザーの IAM ロールを割り当て、開発者が独自のキーを生成してダウンロードできるようにします。

（A）各チームに組織レベルで組織ポリシー管理者の役割を付与します。

（B）組織ポリシー管理者権限を持つカスタム IAM ロールを作成し、各チームのフォルダに権限を付与します。カスタムロールの定義内のフォルダ名に基づいてポリシーの変更を制限します。

（C）組織レベルのタグを作成します。関連するフォルダにタグを添付します。IAM 条件を使用して、組織ポリシー管理者のロールをそのタグを持つリソースに制限します。

（D）組織のポリシー管理者ロールを中央のサービス アカウントに割り当て、必要に応じてサービス アカウントを使用するための資格情報をチームに提供します。

（A）Cloud Run にデプロイされたイメージに対して Binary Authorization の適用を要求する組織ポリシーを構成します。

（B）Binary Authorization なしでの Cloud Run ジョブとサービスの実行を防止する Security Health Analytics (SHA) カスタム ルールを構成します。

（C）開発者が編集できず、すべての Cloud Run ジョブとサービスに自動的に接続される Binary Authorization カスタム ポリシーを構成します。

（D）Cloud Run 管理者ロールが開発者に割り当てられていないことを確認します。