Question#11(Professional Cloud Developer)

あなたは、Windows OS を搭載した Compute Engine インスタンスと Cloud SQL でホストされるアプリケーションをデプロイしようとしています。Cloud SQL インスタンスへの接続には Cloud SQL Auth Proxy を使用する予定です。Google が推奨するプラクティスと「最小権限の原則」に従う必要があります。すでにカスタムサービスアカウントは作成済みです。次に何をすべきですか？

A. カスタムサービスアカウントに cloudsql.instances.connect 権限を持つカスタムロールを作成して割り当てる。Cloud SQL Auth Proxy の起動コマンドを調整して、インスタンス接続名を指定する。
B. カスタムサービスアカウントに roles/cloudsql.client ロールを付与する。Cloud SQL Auth Proxy の起動コマンドを調整して、--unix-socket CLI オプションを使用する。
C. カスタムサービスアカウントに roles/cloudsql.editor ロールを付与する。
D. カスタムサービスアカウントに roles/cloudsql.viewer ロールを付与する。Cloud SQL Auth Proxy の起動コマンドを調整して、インスタンス接続名を指定する。

正解と解説ディスカッション 0

正解：A

この問題を解くポイントは、「最小権限」の厳格な適用と、Windows 環境特有の制約を理解することです。

なぜ A が正解なのか？

最小権限の原則 (Least Privilege): 通常、Cloud SQL への接続には roles/cloudsql.client ロールを使用しますが、これには接続権限以外も含まれます。さらに厳格に「最小権限」を適用する場合、接続に最低限必要な cloudsql.instances.connect 権限のみを持つカスタムロールを作成するのが Google の推奨する最も安全な方法です。
接続設定: Cloud SQL Auth Proxy を実行するには、どのインスタンスに接続するかを特定する「インスタンス接続名（Instance Connection Name）」を指定する必要があります。

Question#11(Professional Cloud Developer)

なぜ A が正解なのか？

コメント

コメント

コメントするコメントをキャンセル

なぜ A が正解なのか？

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル