あなたの会社は Google Cloud 上の本番環境リソースへの変更を承認ワークフローを経由させたいと考えています。特定のユーザーが roles/compute.admin を持っていても、本番フォルダーのリソースを直接変更できないようにしたい場合、最も適切な方法はどれですか?
- A. Access Approval を有効化して本番リソースへのアクセスに明示的な承認を要求する
- B. Cloud Armor で本番リソースへのリクエストを承認まで保留する
- C. 本番フォルダーの IAM ポリシーから roles/compute.admin を削除する
- D. 二段階認証(2FA)を組織全体で必須化する
解答と解説を見る
正解: A
Access Approval を有効にすると、Google Cloud のサポートスタッフや自動システムが本番リソースにアクセスする場合に、承認者(roles/accessapproval.approver を持つ人)の明示的な承認が必要になります。また、Privileged Access Management(PAM)と組み合わせることで、特定ロールを持つ内部ユーザーの高権限操作にも承認フローを追加できます。IAM ポリシーからロールを削除すると通常の管理業務もできなくなります。2FA は認証強化ですが、承認ワークフローとは異なります。Cloud Armor は HTTP(S) トラフィックのフィルタリングで、IAM 操作の承認制御には使いません。