PCA#3(security)
組織配下のすべてのプロジェクトで外部 IP を持つ VM の作成を一律禁止し、例外をフォルダ単位で許可したい要件があります。最も適切な実装方法はどれですか。
正解:C
正解の根拠
組織ポリシーの list 制約 compute.vmExternalIpAccess を組織レベルで継承させ、特定フォルダで上書きすることで、デフォルト禁止と例外許可を一元的に統制できます。リソース階層に従った継承と例外運用が可能です。
| 制約 | 用途 |
|---|---|
| vmExternalIpAccess | 外部 IP の付与可否 |
| restrictVpcPeering | VPC ピアリング先制限 |
不正解の理由
- A: Cloud Armor は HTTP(S) LB 向けで VM 作成を制御しません。
- B: ファイアウォールは作成後の通信制御で IP 付与は止められません。
- D: 全インスタンス作成が不可になり過剰制限です。
参考:組織ポリシー制約
コメント