PSOE#2(platform-operations)

製造業の SOC リードであるあなたは、地域 SOC のジュニアアナリスト 12 名に対し、Google SecOps の検出ルール、参照リスト、データテーブルを閲覧できるようにしたいと考えています。ただしルールの作成・編集や Retrohunt 実行はさせません。Cloud Identity を IdP として使用しており、Google Group は既に存在します。最も適切な IAM 構成を選んでください。

A. Google Group に対し、SecOps プロジェクトで roles/chronicle.Viewer を付与します。
B. Google Group に対し、SecOps プロジェクトで roles/chronicle.editor を付与し、書き込みは社内手順で禁止する運用ルールを敷きます。
C. Google Group に対し、SecOps プロジェクトで roles/chronicle.limitedViewer を付与します。
D. Workforce Identity Pool を組織レベルで作成し、principalSet に roles/chronicle.admin を付与し、Cloud Identity 側を経由しないようにします。

正解と解説ディスカッション 0

正解：A

正解の根拠

roles/chronicle.Viewer は検出エンジンルール、参照リスト、データテーブルを含むリソース全般への読み取り専用アクセスを付与します。limitedViewer はルール本体や参照リストの内容まで見られないため、要件を満たしません。

ロール比較

ロール	ルール閲覧	ルール編集	Retrohunt
chronicle.Viewer	可	不可	不可
chronicle.limitedViewer	不可	不可	不可
chronicle.editor	可	可	可
chronicle.admin	可	可	可

不正解の理由

A は editor が書き込み権限を含み、運用ルールでは技術的な保証になりません。
C は limitedViewer がルール本体を非表示にするため要件未達です。
D は Cloud Identity が既に IdP であり、Workforce Pool は外部 IdP 統合用なので不要です。

参考：Manage feature access control using IAM

PSOE#2(platform-operations)

正解の根拠

ロール比較

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

ロール比較

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル