ACE クラウドソリューション環境のセットアップ

WEB問題集

ACE-ENV#1

会社にはサービスプロバイダーとの SAML(Security Assertion Markup Language)統合をサポートするシングルサインオン(SSO)ID プロバイダーがあります。会社のユーザーは Cloud Identity に存在しています。ユーザーが会社の SSO プロバイダーを使って認証できるようにしたいと考えています。どうすべきですか?

A. Cloud Identity で、Google を ID プロバイダーとして SSO を設定し、カスタム SAML アプリにアクセスする。
B. Cloud Identity で、サードパーティ ID プロバイダーを使った SSO を設定し、Google をサービスプロバイダーとして扱う。
C. OAuth 2.0 の認証情報を取得し、同意画面を設定し、モバイル/デスクトップアプリ用の OAuth 2.0 を設定する。
D. OAuth 2.0 の認証情報を取得し、同意画面を設定し、Web サーバーアプリケーション用の OAuth 2.0 を設定する。

正解と解説ディスカッション 0

正解：B

既存のサードパーティ IdP(例: Okta、ADFS)を信頼できる認証元として使用する場合、Google がサービスプロバイダー(SP)、サードパーティが ID プロバイダー(IdP)となります。Cloud Identity の SSO 設定画面からこの構成を行います。

A(Google を IdP に)は逆の構成で、Google を IdP として他のアプリに提供する場合の設定。
OAuth 2.0 はアプリケーション認可の仕組みであり、エンタープライズ SSO には使用しない。

ACE-ENV#2

組織の ID 情報は Active Directory にあります。組織は Active Directory を ID 情報のソース・オブ・トゥルースとして利用したいと考えています。また、Google Cloud Platform(GCP)組織を含むすべての Google サービスで従業員が使用する Google アカウントを完全に制御したいと考えています。どうすべきですか?

A. Google Cloud Directory Sync(GCDS)を使ってユーザーを Cloud Identity に同期する。
B. Cloud Identity API を使用し、Cloud Identity にユーザーを同期するスクリプトを書く。
C. Active Directory からユーザーを CSV でエクスポートし、管理コンソール経由で Cloud Identity にインポートする。
D. 各従業員に対してセルフサインアップで Google アカウントを作成するよう依頼する。会社のメールアドレスとパスワードを使用させる。

正解と解説ディスカッション 0

正解：A

Google Cloud Directory Sync(GCDS)は、Active Directory や LDAP から Cloud Identity / Google Workspace へユーザー・グループ情報を一方向同期する公式ツールです。

AD をソース・オブ・トゥルースとして維持しつつ、Google アカウントを完全に管理下に置ける Google 推奨の方法。
API スクリプト自作は運用負荷・信頼性の面で推奨されない。
CSV インポートは一回限りで継続同期できない。
従業員のセルフサインアップは組織による管理権を失う。

ACE-ENV#3

アプリケーション用の開発環境をあるプロジェクト内で無事に構築しました。このアプリケーションは Compute Engine と Cloud SQL を使用しています。次に、このアプリケーションの本番環境を構築する必要があります。セキュリティチームは2つの環境間のネットワーク経路の存在を禁止しており、Google 推奨プラクティスに従うよう求めています。どうすべきですか?

A. 新しいプロジェクトを作成し、そのプロジェクトで Compute Engine と Cloud SQL の API を有効にして、開発環境と同様のセットアップを複製する。
B. 既存 VPC に新しい本番サブネットを作成し、既存プロジェクト内に新しい本番 Cloud SQL インスタンスを作成して、それらのリソースを使ってアプリケーションをデプロイする。
C. 新しいプロジェクトを作成し、既存 VPC を Shared VPC に変更し、その VPC を新プロジェクトと共有して、開発環境と同じセットアップを Shared VPC 上の新プロジェクトに複製する。
D. セキュリティチームに依頼し、会社の別部門が使用している既存の本番プロジェクトで Project Editor ロールを付与してもらう。そのロール付与後、開発環境と同じセットアップをそのプロジェクトに複製する。

正解と解説ディスカッション 0

正解：A

Google 推奨プラクティスでは環境ごとにプロジェクトを分離します。別プロジェクトに別 VPC を作成すれば、デフォルトでネットワーク経路は存在せず、要件を自然に満たせます。

同一 VPC 内のサブネット分割では、VPC 内のルーティングは自動で全サブネット間に存在するため要件違反。
Shared VPC は意図的にネットワーク共有を行う仕組みで、分離要件と相反する。
他部門の本番プロジェクトへの Project Editor 付与は職務分掌上不適切。

ACE-ENV#4

会社の一部門で GCP サービスコストを最小限の手順で削減する必要があります。既存の GCP プロジェクト内のすべての設定済みサービスを停止する必要があります。どうすべきですか?

A. 1. このプロジェクトに Project Owners IAM ロールが割り当てられていることを確認する。 2. GCP コンソールでプロジェクトを探し、『シャットダウン』をクリックしてプロジェクト ID を入力する。
B. 1. このプロジェクトに Project Owners IAM ロールが割り当てられていることを確認する。 2. GCP コンソールでプロジェクトに切り替え、リソースを探して削除する。
C. 1. このプロジェクトに Organizational Administrator IAM ロールが割り当てられていることを確認する。 2. GCP コンソールでプロジェクトを探し、プロジェクト ID を入力して『シャットダウン』をクリックする。
D. 1. このプロジェクトに Organizational Administrators IAM ロールが割り当てられていることを確認する。 2. GCP コンソールでプロジェクトに切り替え、リソースを探して削除する。

正解と解説ディスカッション 0

正解：A

『最小限の手順』というキーワードがポイントです。プロジェクト全体をシャットダウン(削除)すれば、プロジェクト内の全リソースが一括停止・削除されます。

プロジェクトのシャットダウンに必要なのは Project Owner ロール(resourcemanager.projects.delete 権限を含む)。
Organizational Administrator は組織ポリシー管理用のロールで、プロジェクト削除には不適切。
リソースを1つずつ削除するのは手順が多く、要件『最小限の手順』に反する。

ACE-ENV#5

複数の Google Cloud プロジェクトを最小限の手順で管理する必要があります。複数プロジェクトを簡単に管理できるよう Google Cloud SDK コマンドラインインターフェース(CLI)を設定したいと考えています。どうすべきですか?

A. 1. 管理が必要な各プロジェクト用の構成(configuration)を作成する。 2. 割り当てられた各 Google Cloud プロジェクトを扱う際に、適切な構成を有効化(activate)する。
B. 1. 管理が必要な各プロジェクト用の構成を作成する。 2. デフォルトでないプロジェクトを扱う必要があるときは、gcloud init を使って構成値を更新する。
C. 1. 管理が必要な1つのプロジェクトに対してデフォルト構成を使用する。 2. 割り当てられた各 Google Cloud プロジェクトを扱う際に、適切な構成を有効化する。
D. 1. 管理が必要な1つのプロジェクトに対してデフォルト構成を使用する。 2. デフォルトでないプロジェクトを扱う必要があるときは、gcloud init を使って構成値を更新する。

正解と解説ディスカッション 0

正解：A

gcloud の configurations 機能を使うと、プロジェクトごとに名前付きの構成(プロジェクト ID、アカウント、リージョン、ゾーンなどのセット)を保存し、gcloud config configurations activate でワンコマンド切り替えが可能です。

プロジェクトごとに構成を作成しておけば、切り替えは activate 一発で済む(最小手順)。
gcloud init は構成を初期化する対話的コマンドで、毎回値を入力する必要があり非効率。
プロジェクトが1つだけの構成では複数プロジェクト管理に対応できない。

ACE クラウド ソリューション環境のセットアップ

WEB問題集

ACE クラウドソリューション環境のセットアップ