ACEアクセスとセキュリティの構成MEDIUM単一選択

Cloud Storage バケットに保存された顧客データを特定のサービスアカウントのみが読み取れるようにしたいと考えています。また、誰かが公開アクセス設定を誤って有効にしてしまった場合にすぐに検知したいです。最も適切なアプローチはどれですか?

  1. A. バケットに IAM ポリシーで特定サービスアカウントのみ roles/storage.objectViewer を付与し、組織ポリシーで publicAccessPrevention を Enforced に設定する
  2. B. Cloud Asset Inventory で毎日バケットのアクセス設定をスキャンしてメール通知する
  3. C. Cloud KMS でバケットを暗号化して特定のサービスアカウントのみキーを使用できるようにする
  4. D. バケットに HTTPS のみのアクセスを設定して暗号化を強制する
解答と解説を見る

正解: A

バケットへの IAM 制限(特定サービスアカウントのみへのアクセス付与)と、組織ポリシーの constraints/storage.publicAccessPrevention を Enforced にする組み合わせが最も確実です。IAM でアクセスを制限し、組織ポリシーで allUsers/allAuthenticatedUsers への付与を API レベルで永続的に防止します。HTTPS のみのアクセス強制は転送の暗号化であり、アクセス制御とは別の話です。Cloud Asset Inventory のスキャンは日次のため、誤設定を即時検知できません。KMS 暗号化はデータ保護の追加レイヤーとして有効ですが、IAM ポリシーと組織ポリシーの代替にはなりません。

📚 関連サービスの解説: Cloud IAM
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題