Professional Cloud Architect 模擬問題集（2020.02.07）

※ 他の問題集は「タグ：Professional Cloud Architect の模擬問題集」から一覧いただけます。

本模擬問題集は「Professional Cloud Architect Practice Exam (2020.02.07)」を日本語翻訳した模擬問題集です。

Google Cloud 認定資格 – Professional Cloud Architect 模擬問題集（全100問）

QUESTION 1

この質問については、JencoMart のケーススタディを参照してください。
JencoMart のセキュリティチームは、すべてのGoogle Cloud Platform インフラストラクチャが運用リソースと開発リソースの分離した最小限の権限モデルを使ってデプロイされていることを望んでいます。
どのGoogle ドメインとプロジェクト構造をするべきでしょうか？

• A. ユーザーを管理するために開発/テスト/ステージング用と本番用の2つのG Suiteアカウントを作成します。各アカウントにはアプリケーションごとに1つのプロジェクトを含める必要があります。
• B. ユーザーを管理するために2つのG Suiteアカウントを作成します。1つはすべての開発アプリケーション用の単一プロジェクト、もう1つはすべての本番アプリケーション用の単一プロジェクトです。
• C. 1つのG Suiteアカウントを作成して、独自のプロジェクトの各アプリケーションの各段階でユーザーを管理します。
• D. 単一のG Suiteアカウントを作成して、開発/テスト/ステージング環境用の1つのプロジェクトと本番環境用の1つのプロジェクトでユーザーを管理します。

Correct Answer: D

Explanation:
最小限の権限と職務分離の原則は意味的には異なりますが、セキュリティの観点から本質的に関連する概念です。両方の背後にある意図は、人々が実際に必要とするよりも高い特権レベルを持つことを防ぐことです。

• 最小権限の原則：ユーザーは、ジョブの実行に必要な最小限の権限のみを保持し、それ以上は保持しないでください。これにより、認可されていないターゲット、ジョブ、監視テンプレートなどのリソースへのアクセスが制限され、認可の活用が減少します。
• 職務の分離：ユーザー権限レベルを制限するだけでなく、ユーザーの職務、またはユーザーが実行できる特定のジョブも制限します。ユーザーには、複数の関連機能に対する責任を与えないでください。これにより、ユーザーが悪意のある操作を実行し、その操作を隠蔽する能力が制限されます。

Reference:
– 職掌分散

QUESTION 2

この質問については、JencoMart のケーススタディを参照してください。
JencoMart がユーザ認証情報データベースをGoogle Cloud Platform に移行して古いサーバをシャットダウンした数日後、新しいデータベースサーバはSSH 接続に応答しなくなりました。アプリケーション サーバーへのデータベース要求は正しく処理しています。
問題を診断するには、次のどの手順を実行する必要がありますか？（回答は3つ）

• A. 仮想マシン（VM）とディスクを削除して、新しいVMを作成します。
• B. インスタンスを削除し、ディスクを新しいVMに接続して調査します。
• C. ディスクのスナップショットを取得し、新しいマシンに接続して調査します。
• D. マシンが接続されているネットワークの受信ファイア ウォールルールを確認します。
• E. 非常に単純なファイアウォールルールを使用してVMを別のネットワークに接続し、調査します。
• F. トラブルシューティング用にインスタンスのシリアルコンソール出力を印刷し、インタラクティブコンソールをアクティブにして調査します。

Correct Answer: C, D, F

Explanation:
D：Handling「ポート22に接続できません」エラーメッセージは考えられる原因は次のとおりです。

• ポートでSSH アクセスを許可するファイアウォール規則はありません。ポート22でのSSHアクセスは、すべてのGoogle Compute Engine インスタンスでデフォルトで有効になっています。アクセスを無効にした場合、ブラウザからのSSHは機能しません。22以外のポートでsshdを実行する場合は、カスタムファイアウォール規則でそのポートへのアクセスを有効にする必要があります。
• SSH アクセスを許可するファイアウォール規則は有効になっていますが、GCP コンソールサービスからの接続を許可するように設定されていません。ブラウザーベースのSSHセッションのソースIPアドレスは、GCP コンソールによって動的に割り当てられ、セッションごとに異なる場合があります。

F：「接続できませんでした。再試行しています…」エラーの処理
シリアルコンソールの出力ページに移動して、accounts-from-metadata で始まる出力行を探すことで、デーモンが実行されていることを確認できます。
string：標準イメージを使用しているが、シリアルコンソール出力にこれらの出力プレフィックスが表示されない場合は、デーモンが停止している可能性があります。 インスタンスを再起動して、デーモンを再起動します。

Reference:
– ブラウザからの SSH

QUESTION 3

この質問については、JencoMart のケーススタディを参照してください。JencoMartは、ユーザー プロファイル ストレージをGoogle Cloud Datastore に、アプリケーションサーバーをGoogle Compute Engine（GCE）に移行することを決定しました。
移行中に既存のインフラストラクチャはデータをアップロードするためにGoogle Cloud Datastore にアクセスする必要があります。
どのサービス アカウント キーの管理戦略を推奨する必要がありますか？

• A. オンプレミス インフラストラクチャとGCE 仮想マシン（VM）のサービス アカウント キーをプロビジョニングします。
• B. ユーザーアカウントを使用してオンプレミス インフラストラクチャを認証し、VMのサービス アカウント キーをプロビジョニングします。
• C. オンプレミス インフラストラクチャのサービス アカウント キーをプロビジョニングし、VMにGoogle Cloud Platform（GCP）管理鍵を使用します。
• D. GCE / Googleにカスタム認証サービスを展開します。 オンプレミスインフラストラクチャ用のGoogle Kubernetes Engine（GKE）およびVM用のGCP 管理キーを使用します。