あなたの組織は Google Cloud リソースを作成する際に、特定のタグ(environment=production など)が必須要件となるようにしたいと考えています。タグが付いていないリソースの作成を拒否する最適な方法はどれですか?
- A. 組織ポリシーカスタム制約を作成し、特定タグなしのリソース作成を拒否する
- B. IAM Conditions でタグを条件に加えてリソース作成権限を制限する
- C. Cloud Asset Inventory を使って定期的にタグなしリソースをスキャンして削除する
- D. Cloud Functions のトリガーでリソース作成イベントを検知し、タグなしリソースを自動削除する
解答と解説を見る
正解: A
組織ポリシーのカスタム制約(Custom Constraints)を使うと、DENY ルールでリソース作成リクエスト内の属性(タグなど)を検査し、条件を満たさないリクエストを API レベルで拒否できます。リソースが実際に作成される前に防止できる点がポイントです。Cloud Asset Inventory のスキャンは事後検知であり、タグなしリソースが一時的に存在してしまいます。IAM Conditions はリソース操作の権限制御であり、タグの強制付与には直接使用できません。Cloud Functions による事後削除も事後対応であり、リソースが作成されてしまう問題は残ります。