CDLセキュリティと運用HARD単一選択

ある企業が、Google CloudのCompute EngineにSSHアクセスする際のセキュリティ強化を検討しています。永続的なSSH鍵のVMへの配布を廃止し、より安全なアクセス方法を実現するための最も適切なアプローチはどれですか?

  1. A. SSHキーペアを全員に配布し、共有キーで全員がアクセスできるようにする
  2. B. SSHアクセスはGoogle Cloud Consoleからのみ許可し、API/SDKからのアクセスを完全に禁止する
  3. C. OS Login + IAP(Identity-Aware Proxy)トンネリングを組み合わせ、GoogleアカウントのIAM権限で認証されたOSレベルのSSHアクセスを外部IPアドレスなしで実現する
  4. D. VMに固定の管理者パスワードを設定し、パスワードでSSHアクセスする
解答と解説を見る

正解: C

OS LoginはLinux VM上のユーザーとGoogleアカウントを紐付け、IAMロールでSSHアクセスを管理する機能。IAPトンネリングと組み合わせることで、VMに外部IPアドレスを付与せず、インターネット経由のSSH(ポート22)を開放せずにGoogle Identityで認証されたSSHアクセスが可能。永続的なSSHキーの配布・管理不要で、IAM経由のアクセス監査も可能。全員への鍵配布は鍵漏洩リスクと管理コストが高い。共有パスワードは推測・漏洩リスクが高い。API禁止は運用柔軟性を著しく損なう。

📚 関連サービスの解説: Cloud IAM
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題