Question#1(Professional Cloud Security Engineer)
あなたの組織には Cloud Run でホストされているアプリケーションがあります。以下の要件を満たしながら、Cloud Identity-Aware Proxy (IAP) を使用してアプリケーションへのアクセスを制御する必要があります。
-
AppDev グループのユーザーのみがアクセスできるようにする。
-
アクセスを内部ネットワークの IP アドレスのみに制限する。
あなたはどうすべきですか?
正解:B
この問題のポイントは、Identity-Aware Proxy (IAP) と Access Context Manager を組み合わせた「コンテキストに基づくアクセス制御」を理解しているかどうかです。
-
なぜ B が正しいのか:
-
IAP は単なる「ユーザー認証」だけでなく、Access Context Manager で定義した「アクセスレベル」を利用して、ユーザーの属性(グループ所属)やデバイスの属性、ネットワークの属性(IP アドレス)を評価できます。
-
「AppDev グループのみ」という要件は IAM ロールで解決できますが、「内部 IP からのみ」という要件を組み合わせるには、アクセスレベル (Access Level) を作成し、それを IAP のポリシーに適用するのが Google Cloud のベストプラクティスです。
-
コメント