MENU

会員登録（無料）

PCSE#2(access)

この問題のディスカッション

PCSE#2(access)

本番環境の Compute Engine 管理者ロールを、緊急対応時のみ業務時間外に IP 制限付きで一時的に付与したい場合、最も適切な仕組みはどれですか。

A. Service Account Key を共有して必要時に利用する運用を採用し、業務時間外の緊急対応時にはキーを一時的に開示することで管理者ロールの一時付与を代替する運用方法を確立します
B. 基本ロール roles/owner を恒久的に付与しておき、緊急対応の必要が生じた時点で利用してもらう方針とすることで運用の俊敏性を最大化する設計判断を組織として採用します
C. IAM Conditions で時間と request.auth.access_levels を指定して付与する
D. VPC Service Controls の境界で全アクセスを許可する構成として運用し、緊急対応時には境界の例外設定を一時的に追加することで管理者ロールの一時付与を代替する設計とします

正解と解説ディスカッション 0

正解：C

正解の根拠

IAM Conditions により時間帯やアクセスレベル（IP／デバイス属性）を条件にロールを付与でき、最小権限と一時付与を両立できます。

属性	例
request.time	業務時間外のみ
request.auth.access_levels	許可済み IP からのみ

不正解の理由

A: SA キー共有は重大なリスクです。
B: 恒久的 owner は最小権限違反です。
D: VPC SC は IAM の代替ではありません。

参考：IAM Conditions overview

コメント

コメント

コメントするコメントをキャンセル