Google Cloud の IAM 条件(IAM Conditions)を使って実現できることを 2 つ選択してください。
- A. 特定のリソースタグ(resource.name など)を持つリソースへのアクセスのみを許可する
- B. 特定の時間帯(業務時間内)のみリソースへのアクセスを許可する
- C. サービスアカウントに付与できるロールの種類を制限する
- D. IAM ロールの権限(permissions)セットを変更する
解答と解説を見る
正解: A, B
IAM 条件は CEL(Common Expression Language)を使ってアクセスに条件を追加します。時間ベースの条件(request.time < timestamp('2024-12-31T23:59:59Z') など)で特定時間帯のみアクセスを許可できます(選択肢B)。また、resource.name や resource.type などのリソース属性に基づいて、特定のリソースへのアクセスのみを許可できます(選択肢A)。サービスアカウントへのロールの種類の制限は IAM 条件ではなく組織ポリシーで管理します(選択肢C)。IAM ロールの権限セット変更はカスタムロールの作成・編集で行うもので、IAM 条件の機能ではありません(選択肢D)。