ACEアクセスとセキュリティの構成MEDIUM単一選択

あなたの会社では、Cloud Run サービスを社内ユーザーのみがアクセスできるように制限したいと考えています。Google Workspace のグループ(group@example.com)に所属するユーザーのみアクセスを許可するための IAM 設定として正しいものはどれですか?

  1. A. Cloud Run サービスのエグレス設定でドメインを制限する
  2. B. Cloud Armor でグループメンバーの IP アドレスリストを管理して許可する
  3. C. Cloud Run サービスの IAM で domain:example.com に roles/run.admin を付与する
  4. D. Cloud Run サービスの IAM で group:group@example.com に roles/run.invoker を付与する
解答と解説を見る

正解: D

Cloud Run サービスの IAM ポリシーで group:group@example.com に roles/run.invoker を付与すると、そのグループに所属するすべてのユーザーが Cloud Run サービスを呼び出せるようになります。グループメンバーの変更が自動的に IAM の権限に反映されます。domain:example.com は指定ドメインのすべてのユーザーに権限を付与しますが、特定のグループに限定することはできません(また roles/run.admin は過剰な権限です)。Cloud Armor によるグループメンバーの IP 管理はメンバーが変わるたびに IP リストを更新する必要があり、現実的ではありません。Cloud Run のエグレス設定は送信トラフィックの制御であり、受信アクセス制限ではありません。

📚 関連サービスの解説: Cloud RunCloud IAM
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題