MENU

会員登録（無料）

PCA#2(business)

この問題のディスカッション

PCA#2(business)

本番、ステージング、開発の 3 環境を Google Cloud で運用しています。本番環境にだけ厳しい組織ポリシー (例: 外部 IP 禁止) を適用し、開発では緩めたい場合、最も推奨される設計はどれですか。

A. Organization レベルですべての制約を有効にし、開発 Project には個別に例外を付け、ステージング Project にもプロジェクト単位で必要な例外を都度個別に追加して運用する構成で対応します
B. Project ごとにラベル env=prod を付け、Cloud Functions で違反を継続検知し、検知時は通知のみで実際の制約は適用しない事後検知中心の運用にします
C. 環境ごとに Folder (prod、staging、dev) を作成し、Folder 単位で Organization Policy を適用します
D. 本番だけ別の Organization に分離し、ステージングと開発は同じ Organization にまとめ、Organization 間の権限と請求も完全に独立で運用する構成にします

正解と解説ディスカッション 0

正解：C

正解の根拠

環境ごとに Folder を分け、Folder 単位で Organization Policy を適用することで、環境ごとに異なるポリシーを宣言的かつ継承可能な形で管理できます。本番に厳格なポリシーを当て、開発には緩めるといった差分も Folder 単位で表現できます。

環境	Folder と適用ポリシー例
prod	外部 IP 禁止、SA キー作成禁止
staging	本番に準拠
dev	緩和されたポリシー

不正解の理由

A は例外管理が複雑化します。
C は事後検知でしかなく予防になりません。
D は Organization 分離は運用負荷が高く必要性が低いです。

参考：Organization Policy Service

コメント

コメント

コメントするコメントをキャンセル