MENU

会員登録（無料）

PCSE#5(access)

この問題のディスカッション

PCSE#5(access)

組織階層で全プロジェクト共通に SecurityAdmin ロールを継承させ、特定 Folder ではそれを取り消したい要件があります。最も適切な実装はどれですか。

A. Organization で付与し、Folder で同ロールを再付与しない
B. Project ごとに role bindings を手動削除する
C. IAM Deny ポリシーを Folder に適用してロールを遮断する
D. Workforce Identity Federation で属性を切り替える

正解と解説ディスカッション 0

正解：C

正解の根拠

IAM Deny ポリシーは Folder などに適用でき、継承された IAM 付与の効果を下位スコープで遮断できます。Allow と Deny の組合せで階層的な例外を実装します。

方式	効果
IAM 継承のみ	下位で取消不可
Deny Policy	下位で拒否可能

不正解の理由

A: IAM 継承は下位で取消できません。
B: 手動削除は継承では機能しません。
D: WIF は階層制御の手段ではありません。

参考：IAM Deny policies

コメント

コメント

コメントするコメントをキャンセル