セキュリティチームは、本番環境の Google Cloud プロジェクトにおいて、特定のリージョン(asia-northeast1)以外にリソースを作成できないようにしたいと考えています。最も適切な方法はどれですか?
- A. すべての IAM ロールに対してリージョン条件付きポリシーを設定する
- B. VPC ネットワークを asia-northeast1 のみに作成し、他のリージョンへの接続を拒否するファイアウォールルールを追加する
- C. Cloud Armor ポリシーを設定して他のリージョンからのリクエストをブロックする
- D. 組織ポリシーの constraints/gcp.resourceLocations を設定してリージョンを制限する
解答と解説を見る
正解: D
組織ポリシーの constraints/gcp.resourceLocations を使うと、プロジェクトまたはフォルダーレベルで許可するリージョンを限定できます。この制約を設定すると、指定リージョン外でのリソース作成が API レベルで拒否されます。IAM 条件付きポリシーはリソース属性に基づくアクセス制御ですが、全ロール・全サービスに設定するのは現実的ではありません。VPC のファイアウォールルールはネットワークトラフィックを制御するものであり、リソースの作成場所を制限しません。Cloud Armor は HTTP(S) トラフィックの保護に使用するものであり、リソース作成の制限には使えません。