Professional-Cloud-Security-Engineer日本語 無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)」

（A）Puppet または Chef を使用して、実行中のコンテナーにパッチをプッシュします。

（B）アプリケーション コードを更新するかパッチを適用し、新しいイメージをビルドして再デプロイします。

（C）Container Registry で基本イメージが使用可能になったときにコンテナーを自動的にアップグレードするように構成します。

（D）自動アップグレードが有効になっていることを確認します。その場合、Google は GKE クラスタ内のノードをアップグレードします。

（A）Cloud External Key Manager を使用して、特定の暗号化キーを削除します。

（B）Google Cloud にデータを送信する前にクライアント側の暗号化を使用し、オンプレミスの暗号鍵を削除します

（C）顧客管理の暗号化キーを使用して、特定の暗号化キーを削除します。

（D）Google の既定の暗号化を使用して、特定の暗号化キーを削除します。

（A）Cloud Data Loss Prevention API を使用して、Cloud Storage のログをクエリします。

（B）Security Health Analytics を使用して、ユーザー アクティビティを判断します。

（C）Cloud Monitoring コンソールを使用して、監査ログをユーザー別にフィルタリングします。

（D）ログ エクスプローラーを使用して、ユーザー アクティビティを検索します。

（A）最新のパッチを Cloud Storage バケットにコピーします。各 VM にログインし、バケットからパッチをダウンロードしてインストールします。

（B）VM Manager が VM にインストールされ、実行されていることを確認します。OS パッチ管理サービスで、重要なパッチを毎日更新するようにパッチジョブを構成します。

（C）出力ファイアウォール ルールがすべての送信トラフィックを許可していることを確認します。各 VM にログインし、OS 固有の更新コマンドを実行します。毎日の更新のために、重要なパッチで毎日更新するように Cloud Scheduler ジョブを構成します。

（D）VM にパブリック IP を割り当てます。各 VM にログインし、出力ファイアウォール ルールですべての送信トラフィックが許可されていることを確認します。また、アクティビティの少ない夜間に OS 更新を有効にする毎日の cron ジョブを構成します。

（A）クラウド外部キー マネージャー

（B）顧客提供の暗号化キー。

（C）シークレット マネージャー

（D）Google の既定の暗号化

（E）顧客管理の暗号鍵

（A）管理ツールを使用して、グループ オブジェクト クラスの属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。

（B）LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
一方向の同期を容易にする属性として「ユーザーの電子メールアドレス」。

（C）LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
双方向同期を容易にするための属性として「ユーザーの電子メールアドレス」。

（D）管理ツールを使用して、電子メール アドレス属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。

（A）Confidential Computing と Istio

（B）外部キー マネージャー

（C）クライアント側の暗号化

（D）顧客提供の暗号化キー

（E）ハードウェア セキュリティ モジュール

（A）クラスタ内の Compute Engine インスタンスで IP 転送をオフにします。

（B）Compute Engine クラスタが別のサブネットで実行されていることを確認します。

（C）パブリック IP アドレスを Compute Engine クラスタに割り当てないようにします。

（D）Cloud NAT ゲートウェイを構成します。

（E）Compute Engine サブネットで限定公開の Google アクセスを構成する

（A）アクセスの透明性

（B）データアクセス

（C）管理者の活動

（D）システムイベント

（A）グループ メンバーシップを組織に属するユーザー プリンシパルに制限する条件を含む Identity and Access Management (1AM) ポリシーを設定します。

（B）Google Workspace 管理コンソールで関連グループの設定を変更し、外部ユーザーがグループに追加されないようにします。

（C）Cloud Identity ログを BigQuery にエクスポートし、グループに追加された外部メンバーに関するアラートを構成します。アラートによって、グループから外部メンバーを削除する Cloud Function インスタンスがトリガーされるようにします。

（D）組織外のプリンシパルをスコープ内のグループに割り当てることを拒否する Identity and Access Management (IAM) 拒否ポリシーを定義します。

（A）アクセスの透明性と承認

（B）クラウド外部キーマネージャー

（C）顧客管理の暗号化キー

（D）キーアクセスの正当化

（E）顧客提供の暗号化キー

（A）顧客と従業員のネットワークからのアクセスを許可し、他のすべてのトラフィックを拒否する App Engine ファイアウォール ルールを作成します。

（B）顧客と従業員のユーザー アカウントを含む .htaccess ファイルを App Engine にアップロードします。

（C）Cloud VPN を使用して、関連するオンプレミス ネットワークと会社の GCP Virtual Private Cloud (VPC) ネットワークの間に VPN 接続を作成します。

（D）Cloud Identity-Aware Proxy (IAP) を有効にし、顧客と従業員のユーザー アカウントを含む Google グループへのアクセスを許可します。