A. 識別された IP アドレスからのトラフィックを制限するために、VPC でファイアウォール ルールを設定します。

B. Google Cloud Armor を使用してスロットル アクションを構成し、指定された時間間隔におけるクライアントあたりのリクエスト数を制限します。

C. Google Cloud Armor を使用して拒否アクションを構成し、指定された時間間隔内に過剰なリクエストを発行したクライアントを拒否します。

D. Google Cloud Armor を使用して rate_based_ban アクションを設定し、ban_duration_sec パラメータを指定された時間間隔に設定します。

A. 組織全体で作成されたすべての VM リソースがクラウド外部キー マネージャー (EKM) 保護を使用することを保証する組織ポリシーを実装します。

B. 組織全体で作成されたすべての VM リソースが顧客管理の暗号化キー (CMEK) 保護を使用することを保証する組織ポリシーを実装します。

C. Google はデフォルトで使用中のデータを暗号化するため、アクションは必要ありません。

D. 組織全体で作成されるすべての VM リソースが Confidential VM インスタンスであることを保証する組織ポリシーを実装します。

A. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
2. 認証フィールドで、App Engine のデフォルト サービス アカウントと一致する電子メール アドレスをクリックします。
3. [一致するエントリを表示] をクリックします。
4.結果のリストが空であることを確認します。

B. 1. BigQuery で、関連するデータセットを選択します。
2. App Engine のデフォルト サービス アカウントが、データセットに書き込むことができる唯一のアカウントであることを確認します。

C. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
2. 認証フィールドで、App Engine のデフォルト サービス アカウントと一致する電子メール アドレスをクリックします。
3. [一致するエントリを非表示] をクリックします。
4.結果のリストが空であることを確認します。

D. 1. プロジェクトの IAM セクションに移動します。
2. App Engine のデフォルト サービス アカウントが、BigQuery に書き込むことができるロールを持つ唯一のアカウントであることを確認します。

A. Cloud ハードウェア セキュリティ モジュール（HSM）を基盤とする顧客管理の暗号鍵を使用して、Cloud Storage バケット内のデータを暗号化します。データアクセス ログを有効にします。

B. オンプレミス環境でキーを生成し、オンプレミスで管理されているハードウェア セキュリティ モジュール (HSM) に保存します。このキーを Cloud Key Management Service (KMS) の外部キーとして使用します。Key Access Justifications (KAJ) を有効にし、外部キーシステムを設定して不正アクセスを拒否します。

C. 顧客管理の暗号鍵を使用して、Cloud Storageバケット内のデータを暗号化します。許可されていないグループに対して午前1時の拒否ポリシーを設定します。

D. オンプレミス環境で鍵を生成し、データを Cloud Storage バケットにアップロードする前に暗号化します。鍵を Cloud Key Management Service（KMS）にアップロードします。Key Access Justifications（KAJ）を有効にして、外部鍵システムで不正アクセスを拒否します。

A. Google サポートに連絡し、ドメイン競合プロセスを開始して、新しい Cloud Identity ドメインでドメイン名を使用してください。

B. 新しいドメイン名を登録し、それを新しい Cloud Identity ドメインに使用します。

C. データ サイエンス マネージャーのアカウントを既存のドメインのスーパー管理者としてプロビジョニングするよう Google に依頼します。

D. お客様の経営陣に、Google マネージド サービスの他の用途を発見するよう依頼し、既存のスーパー管理者と協力します。

A. Cloud Interconnect を構成し、オンプレミスのファイアウォールを介してトラフィックをルーティングします。

B. HA VPN を使用したクラウド インターコネクトの構成 デフォルトの 0 0 0 0/0 ルートをオンプレミスの宛先に置き換えます。

C. Google Cloud への HA VPN 接続を作成します。デフォルトの 0 0 0 0/0 ルートを置き換えます。

D. Compute Engine でルーティング VM を作成します。VM をネクストホップとしてデフォルト ルートを構成します。

A. 開発に Cloud Code の使用を強制することで、ユーザーはコードをチェックインする前に、脆弱なライブラリや依存関係に関するセキュリティ フィードバックをリアルタイムで受け取ることができます。

B. Binary Authorization を有効にし、スキャンの証明書を作成します。

C. Kubernetesのロールベースアクセス制御（RBAC）をクラスタアクセスの信頼できる情報源として使用し、
「container clusters.get」を限定されたユーザーにのみ実行させます。これらのユーザーにGKEクラスタへの設定アクセスを含むkubeconfigファイルの生成を許可することで、デプロイメントへのアクセスを制限します。

D. gcloud アーティファクト docker イメージを使用して、LOCATION-docker.pkg.dev/PROJECT_ID を記述します。
CI/CD パイプラインで /REPOSITORY/IMAGE_ID@sha256:HASH --show-package-vulnerability を実行し、重大な脆弱性に対してパイプラインの障害をトリガーします。

A. MIG をバックエンドとしてサービス プロジェクトに外部 HTTP(S) ロード バランサをデプロイします。

B. MIG をバックエンドとしてホスト (VPC) プロジェクトに外部 HTTP(S) ロード バランサーをデプロイします。

C. MIG のサービス プロジェクトに Cloud NAT ゲートウェイをデプロイします。

D. MIG のホスト (VPC) プロジェクトに Cloud NAT ゲートウェイをデプロイします。

A. 1. オンプレミス環境と Google Cloud の間に Partner Interconnect リンクを設定します。
2. オンプレミスの DNS 構成で private.googleapis.com ドメインを使用してプライベート アクセスを構成します。

B. 1. オンプレミス環境と Google Cloud の間に Cloud VPN リンクを設定します。
2. オンプレミスの DNS 構成で、制限付きの googleapis.com ドメインを使用してプライベート アクセスを構成します。

C. 1. オンプレミス環境と Google Cloud の間に Dedicated Interconnect リンクを設定します。
2. オンプレミスの DNS 構成で、restricted.googleapis.com ドメインを使用してプライベート アクセスを構成します。

D. 1. オンプレミス環境と Google Cloud の間にダイレクト ピアリング リンクを設定します。
2. 両方の VPC サブネットにプライベート アクセスを設定します。

A. コンテキストアウェアアクセスを使用します。必要なコンテキストを定義するアクセスレベルを作成します。これを組織ポリシーとしてプロジェクトレベルで適用し、そのコンテキストに基づいて Cloud Storage へのアクセスを制限します。

B. 組織全体のサービス境界をすべてのプロジェクトで確立することで、VPC Service Controls を実装します。IP アドレス範囲に基づいて Cloud Storage へのアクセスを制限する上り（内向き）ルールと下り（外向き）ルールを設定します。

C. 組織レベルのファイアウォール ルールを適用し、Cloud Storage へのすべてのトラフィックをブロックします。プロジェクト内のストレージ チームが使用する特定のサービス アカウントに対しては例外を作成します。

D. ストレージ チームのプロジェクト内のプロジェクト レベルで Identity and Access Management (IAM) ロールを使用します。
ストレージ チームに、プロジェクトの Cloud Storage リソースに対するきめ細かな権限を付与します。

A. DLP API を使用して仮名化のトークン化を実行し、そのデータを後で使用するために BigQuery に保存します。

B. DLP API を使用してデータ編集を実行し、そのデータを後で使用するために BigQuery に保存します。

C. DLP API を使用してデータ検査を実行し、そのデータを後で使用するために BigQuery に保存します。

D. DLP API を使用してデータ マスキングを実行し、そのデータを後で使用するために BigQuery に保存します。

A. 1. 個別の Google Cloud プロジェクトを使用して、本番環境と非本番環境のシークレットを保存します。
2. シークレット レベルの Identity and Access Management (IAM) バインディングを使用して、シークレットへのアクセス制御を実施します。
3. Google が管理する暗号鍵を使用してシークレットを暗号化します。

B. 1. 1 つの Google Cloud プロジェクトを使用して、本番環境と非本番環境の両方のシークレットを保存します。
2. プロジェクト レベルの Identity and Access Management (IAM) バインディングを使用して、シークレットへのアクセス制御を実施します。
3. 顧客管理の暗号化キーを使用してシークレットを暗号化します。

C. 1. 個別の Google Cloud プロジェクトを使用して、本番環境と非本番環境のシークレットを保存します。
2. プロジェクト レベルの ID とアクセス管理 (IAM) バインディングを使用して、シークレットへのアクセス制御を実施します。
3. 顧客管理の暗号化キーを使用してシークレットを暗号化します。

D. 1. 1 つの Google Cloud プロジェクトを使用して、本番環境と非本番環境の両方のシークレットを保存します。
2. シークレット レベルの Identity and Access Management (IAM) バインディングを使用して、シークレットへのアクセス制御を実施します。
3. Google が管理する暗号鍵を使用してシークレットを暗号化します。

A. Google のサービスを使用してユーザーがアップロードした画像を変換するコードのセキュリティ面について説明します。
開発チーム内できめ細かなアクセス制御を行うために Cloud IAM を定義します。

B. 画像分類サービスを中心とした、深層侵入検知と防御のためのカスタムネットワークファイアウォールの開発について説明します。既知の脆弱性を検出する脆弱性スキャンツールについても説明します。

C. Google の責任共有モデルについて説明します。構成レビューでは、Identity and Access Management（IAM）の権限、データの安全なアップロード/ダウンロード手順、潜在的な悪意のあるアクティビティの監視ログに重点を置きます。

D. PaaS（Platform as a Service）を使用すると、セキュリティ上の懸念がGoogleに移転されることを説明します。予期せぬ使用量の増加や課金の急増を防ぐために、厳格なAPI使用量制限の必要性について説明します。