ACE#5(access-security)
ある企業の監査チームは、誰がいつどの Compute Engine VM を作成・削除したかを過去 400 日にわたり確認できる必要があります。デフォルトで有効かつ追加課金なしで取得できるログはどれですか?
正解:A
正解の根拠
Cloud Audit Logs の Admin Activity ログはリソースの構成変更や作成・削除を記録し、すべての Google Cloud プロジェクトでデフォルトかつ無料で有効化されます。保持期間は 400 日固定で、VM の作成や削除といった管理操作はこのログに記録されます。監査要件に合致する標準的な方法です。
サービス比較
| 項目 | 正解 (Admin Activity) | 不正解 (Data Access) |
|---|---|---|
| デフォルト | 有効 | 無効 (要設定) |
| 保持期間 | 400 日 | 30 日 |
| 課金 | 無料 | 有料 |
不正解の理由
- B: Data Access ログはデータの読み書き記録用で、デフォルトでは無効かつ追加課金が発生します。
- C: System Event ログは Google が起動した管理操作を記録し、ユーザー操作の追跡には不向きです。
- D: Policy Denied ログは VPC SC 違反など拒否イベント用で、VM 操作履歴は記録しません。
コメント