
Google Associate-Cloud-Engineer日本語練習テストPDF試験材料
Associate-Cloud-Engineer日本語解答Associate-Cloud-Engineer日本語無料サンプルには全てリアル試験合格させます
質問 # 150
gcloud app deployを使用してApp Engineアプリケーションをデプロイしましたが、意図したプロジェクトにデプロイされませんでした。これがなぜ起こったのか、そしてアプリケーションがどこにデプロイされたのかを知りたいのです。あなたは何をするべきか?
- A. アプリケーションのapp.yamlファイルを確認し、プロジェクト設定を確認します。
- B. アプリケーションのweb-application.xmlファイルを確認し、プロジェクト設定を確認します。
- C. Cloud Shellに移動し、gcloud config listを実行して、デプロイに使用されたGoogle Cloud構成を確認します。
- D. Deployment Managerに移動し、アプリケーションのデプロイメントの設定を確認します。
正解:A
解説:
参照:
https://cloud.google.com/endpoints/docs/openapi/troubleshoot-aeflex-deployment
質問 # 151
データセンターで実行するアプリケーションを構築しています。アプリケーションはAutoMLのようなGoogle Cloud Platform(GCP)サービスを使用します。 AutoMLへの適切なアクセス権を持つサービスアカウントを作成しました。オンプレミス環境からAPIへの認証を有効にする必要があります。あなたは何をするべきか?
- A. オンプレミスアプリケーションでサービスアカウントの認証情報を使用します。
- B. gcloudを使用して、適切な権限を持つサービスアカウントのキーファイルを作成します。
- C. IAMと管理コンソールに移動し、サービスアカウント権限と同様のユーザーアカウント権限を付与し、このユーザーアカウントをデータセンターからの認証に使用します。
- D. データセンターとGoogle Cloud Platformの間に直接相互接続を設定して、オンプレミスアプリケーションの認証を有効にします。
正解:B
解説:
Reference:
https://cloud.google.com/vision/automl/docs/before-you-begin
質問 # 152
BigQueryからのデータを集約して視覚化するAppEngineサービスを管理します。アプリケーションは、デフォルトのApp EngineServiceアカウントでデプロイされます。視覚化する必要のあるデータは、別のチームが管理する別のプロジェクトにあります。このプロジェクトにアクセスすることはできませんが、アプリケーションがBigQueryデータセットからデータを読み取れるようにする必要があります。あなたは何をするべきか?
- A. プロジェクトのCloud IAMで、デフォルトのAppEngineサービスアカウントにBigQueryデータビューアーの役割があることを確認します。
- B. 他のチームに、デフォルトのApp EngineServiceアカウントにBigQueryジョブユーザーの役割を付与するよう依頼します。
- C. プロジェクトのCloud IAMで、他のチームから新しく作成されたサービスアカウントに、プロジェクトでのBigQueryジョブユーザーの役割を付与します。
- D. 他のチームに、デフォルトのApp EngineServiceアカウントにBigQueryデータビューアの役割を付与するよう依頼します。
正解:D
解説:
Explanation
The resource that you need to get access is in the other project.
roles/bigquery.dataViewer BigQuery Data Viewer
When applied to a table or view, this role provides permissions to:
Read data and metadata from the table or view.
This role cannot be applied to individual models or routines.
When applied to a dataset, this role provides permissions to:
Read the dataset's metadata and list tables in the dataset.
Read data and metadata from the dataset's tables.
When applied at the project or organization level, this role can also enumerate all datasets in the project.
Additional roles, however, are necessary to allow the running of jobs.
質問 # 153
Data Studioを使用して、BigQuery上に構築されたデータウェアハウスのテーブルを視覚化します。データは、日中にデータウェアハウスに追加されます。夜間は、テーブルを上書きして日次サマリーが再計算されます。 Data Studioのグラフが壊れていることに気づき、問題を分析したいとします。
あなたは何をするべきか?
- A. クラウドコンソールの[エラーレポート]ページを確認して、エラーを見つけます。
- B. Cloud Debuggerを使用して、データが正しく更新されなかった理由を確認します
- C. Cloud Loggingで、DataStudioレポートのフィルターを作成します
- D. BigQueryインターフェースを使用して、夜間のジョブを確認し、エラーを探します
正解:B
質問 # 154
Cloud Storageバケットにデータをアーカイブするソリューションを構成する必要があります。ソリューションは費用効果が高くなければなりません。複数のバージョンのデータは30日後にアーカイブする必要があります。以前のバージョンは、レポートのために月に1回アクセスされます。このアーカイブデータは、月末に時々更新されます。あなたは何をするべきか?
- A. Add a bucket lifecycle rule that archives data from regional storage after 30 days to Coldline Storage.
- B. Add a bucket lifecycle rule that archives data from regional storage after 30 days to Nearline Storage.
- C. Add a bucket lifecycle rule that archives data with newer versions after 30 days to Coldline Storage.
- D. Add a bucket lifecycle rule that archives data with newer versions after 30 days to Nearline Storage.
正解:D
解説:
Reference:
https://cloud.google.com/storage/docs/managing-lifecycles
質問 # 155
会社のインフラストラクチャはオンプレミスですが、すべてのマシンが最大容量で実行されています。 Google Cloudにバーストしたい。 Google Cloudのワークロードは、プライベートIP範囲を使用してオンプレミスのワークロードと直接通信できる必要があります。あなたは何をするべきか?
- A. Google Cloudで、VPCを共有VPCのホストとして構成します。
- B. Google Cloudで、VPCネットワークピアリング用にVPCを構成します。
- C. オンプレミスのインフラストラクチャとGoogle Cloudの間にCloud VPNを設定します。
- D. オンプレミス環境とGoogle Cloudの両方で要塞ホストを作成します。パブリックIPアドレスを使用して、両方をプロキシサーバーとして構成します。
正解:C
解説:
vpc network peering does not connect to on-prem. Cloud VPN is the correct solution.
https://cloud.google.com/vpn/docs/concepts/overview
質問 # 156
Compute Engineに本番アプリケーションをデプロイしています。間違ったボタンをクリックして、誰かが誤ってインスタンスを破壊するのを防ぎたいとします。あなたは何をするべきか?
- A. インスタンスの自動再起動を無効にします。
- B. 「インスタンスの削除時にブートディスクを削除する」フラグを無効にします。
- C. インスタンスで削除保護を有効にします。
- D. インスタンスでプリエンプティビリティを有効にします。
正解:C
解説:
Preventing Accidental VM Deletion
This document describes how to protect specific VM instances from deletion by setting the deletionProtection property on an Instance resource. To learn more about VM instances, read the Instances documentation.
https://cloud.google.com/compute/docs/instances/preventing-accidental-vm-deletion
質問 # 157
監査人は、組織による Google Cloud でのデータの使用状況を確認したいと考えています。監査人は、Cloud Storage バケット内のデータに誰がアクセスしたかを監査することに最も関心があります。監査人が必要なデータにアクセスできるよう支援する必要があります。あなたは何をするべきか?
- A. エクスポート ログ API を使用して、必要な形式で管理アクティビティ監査ログを提供します
- B. 適切な権限を割り当てて、管理アクティビティ監査ログに関するデータポータル レポートを作成します。
- C. 適切な権限を割り当て、Cloud Monitoring を使用して指標を確認します。
- D. 監査するバケットのデータ アクセス ログをオンにし、Cloud Storage でフィルタリングするログ ビューアでクエリを作成します。
正解:D
解説:
Types of audit logs Cloud Audit Logs provides the following audit logs for each Cloud project, folder, and organization: Admin Activity audit logs Data Access audit logs System Event audit logs Policy Denied audit logs ***Data Access audit logs contain API calls that read the configuration or metadata of resources, as well as user-driven API calls that create, modify, or read user-provided resource data. https://cloud.google.com
/logging/docs/audit#types
https://cloud.google.com/logging/docs/audit#data-access Cloud Storage: When Cloud Storage usage logs are enabled, Cloud Storage writes usage data to the Cloud Storage bucket, which generates Data Access audit logs for the bucket. The generated Data Access audit log has its caller identity redacted.
質問 # 158
あなたの会社は、単一のプロジェクトに集中化された多数のGoogle Cloudサービスを使用しています。すべてのチームには、テストと開発のための特定のプロジェクトがあります。 DevOpsチームは、ジョブを実行するためにすべての本番サービスにアクセスする必要があります。今後、Google Cloud製品の変更によって権限が拡大するのを防ぐ必要があります。 Googleが推奨するプラクティスに従いたい。あなたは何をするべきか?
- A. DevOpsチームのすべてのメンバーに、組織レベルでのプロジェクト編集者の役割を付与します。
- B. 必要な権限を組み合わせたカスタムの役割を作成します。 DevOpsチームに組織レベルでのカスタムの役割を付与します。
- C. 必要な権限を組み合わせたカスタムの役割を作成します。 DevOpsチームに本番プロジェクトでのカスタムの役割を付与します。
- D. DevOpsチームのすべてのメンバーに、本番プロジェクトでのプロジェクト編集者の役割を付与します。
正解:A
解説:
Understanding IAM custom roles
Key Point: Custom roles enable you to enforce the principle of least privilege, ensuring that the user and service accounts in your organization have only the permissions essential to performing their intended functions.
Basic concepts
Custom roles are user-defined, and allow you to bundle one or more supported permissions to meet your specific needs. Custom roles are not maintained by Google; when new permissions, features, or services are added to Google Cloud, your custom roles will not be updated automatically.
When you create a custom role, you must choose an organization or project to create it in. You can then grant the custom role on the organization or project, as well as any resources within that organization or project.
https://cloud.google.com/iam/docs/understanding-custom-roles#basic_concepts
質問 # 159
最近のセキュリティ インシデントの後、新興企業は Google Cloud 環境で何が起こっているのかについてより詳しい洞察を求めています。予期しないファイアウォールの変更とインスタンスの作成を監視する必要があります。あなたの会社はシンプルなソリューションを好みます。あなたは何をするべきか?
- A. Cloud Logging フィルタを使用して、ファイアウォールとインスタンスのアクションに関するログベースの指標を作成します。変化を監視し、適切なアラートを設定します。
- B. Kibana をコンピューティング インスタンスにインストールします。ログシンクを作成して、ファイアウォール用にフィルタリングされた Cloud Audit Logs とコンピューティング インスタンスを Pub/Sub に転送します。Pub/Sub トピックをターゲットにして、メッセージを Kibana インスタンスにプッシュします。Kibana 上のログをリアルタイムで分析します。
- C. ログシンクを作成して、ファイアウォール用にフィルタリングされた Cloud Audit Logs を Cloud Storage に転送し、インスタンスをコンピューティングします。BigQuery を使用して、ストレージ バケット内のログ イベントを定期的に分析します。
- D. Google Cloud ファイアウォール ルールのログ記録を有効にし、挿入、更新、または削除イベントのアラートを設定します。
正解:A
解説:
This answer is the simplest and most effective way to monitor unexpected firewall changes and instance creation in Google Cloud. Cloud Logging filters allow you to specify the criteria for the log entries that you want to view or export. You can use the Logging query language to write filters based on the LogEntry fields, such as resource.type, severity, or protoPayload.methodName. For example, you can filter for firewall-related events by using the following query:
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" You can filter for instance-related events by using the following query:
resource.type="gce_instance" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Factivity_log" You can create log-based metrics from these filters to measure the rate or count of log entries that match the filter. Log-based metrics can be used to create charts and dashboards in Cloud Monitoring, or to set up alerts based on the metric values. For example, you can create an alert policy that triggers when the log-based metric for firewall changes exceeds a certain threshold in a given time interval. This way, you can get notified of any unexpected or malicious changes to your firewall rules.
Option B is incorrect because it is unnecessarily complex and costly. Installing Kibana on a compute instance requires additional configuration and maintenance. Creating a log sink to forward Cloud Audit Logs to Pub/Sub also incurs additional charges for the Pub/Sub service. Analyzing the logs on Kibana in real time may not be feasible or efficient, as it requires constant monitoring and manual intervention.
Option C is incorrect because Google Cloud firewall rules logging is a different feature from Cloud Audit Logs. Firewall rules logging allows you to audit, verify, and analyze the effects of your firewall rules by creating connection records for each rule that applies to traffic. However, firewall rules logging does not log the insert, update, or delete events for the firewall rules themselves. Those events are logged by Cloud Audit Logs, which record the administrative activities in your Google Cloud project.
Option D is incorrect because it is not a real-time solution. Creating a log sink to forward Cloud Audit Logs to Cloud Storage requires additional storage space and charges. Using BigQuery to periodically analyze log events in the storage bucket also incurs additional costs for the BigQuery service. Moreover, this option does not provide any alerting mechanism to notify you of any unexpected or malicious changes to your firewall rules or instances.
質問 # 160
あなたの会社は、Infrastructure as Code を使用して、複数の Google Cloud リソースの作成と管理を標準化したいと考えています。環境の管理に必要な反復コードの量を最小限に抑えたい 何をすべきか?
- A. 端末で curl を使用して、個々のリソースごとに関連する Google API に REST 要求を送信します。
- B. Cloud Deployment Manager を使用して環境のテンプレートを開発する
- C. すべての要件ステップを gcloud コマンドとして含む bash スクリプトを作成します。
- D. Cloud Console インターフェースを使用して、関連するすべてのリソースをプロビジョニングおよび管理します
正解:B
質問 # 161
管理対象インスタンスグループは、新しいインスタンスの作成が新しいインスタンスの作成に失敗したことを示すアラートを発生させました。予想されるアプリケーショントラフィックを処理できるようにするには、テンプレートで指定された実行中のインスタンスの数を維持する必要があります。あなたは何をするべきか?
- A. インスタンスグループで使用される有効な構文を含むインスタンステンプレートを作成します。インスタンス名と同じ名前の永続ディスクを削除します。
- B. インスタンスグループで使用されているインスタンステンプレートに有効な構文が含まれていることを確認します。インスタンス名と同じ名前の永続ディスクを削除します。インスタンステンプレートで、disks.autoDeleteプロパティをtrueに設定します。
- C. 現在のインスタンステンプレートを削除し、新しいインスタンステンプレートに置き換えます。インスタンス名と永続ディスク名の値がテンプレートで同じでないことを確認します。インスタンステンプレートで、disks.autoDeleteプロパティをtrueに設定します。
- D. インスタンスグループで使用される有効な構文を含むインスタンステンプレートを作成します。インスタンス名と永続ディスク名の値がテンプレートで同じでないことを確認します。
正解:B
質問 # 162
顧客は、コンピューティング インスタンスの CPU 負荷に基づいた自動スケーリングを備えた安全な Web サイトを作成することを望んでいます。静的コンテンツを Cloud Storage に保存することでパフォーマンスを向上させたいと考えています。ユーザー トラフィックを分散するにはどのリソースが必要ですか?
- A. 負荷を分散する外部 HTTP(S) ロードバランサと、静的コンテンツのリクエストを Cloud Storage バックエンドに向ける URL マップ。HTTPS 証明書をインスタンスにインストールします。
- B. 内部 HTTP(S) ロード バランサと Identity-Aware Proxy を組み合わせて、HTTPS トラフィックのみを許可します。
- C. 負荷を分散するマネージド SSL 証明書を備えた外部 HTTP(S) ロードバランサと、静的コンテンツのリクエストを Cloud Storage バックエンドに送信する URL マップ。
- D. 負荷を均等に分散するためにバックエンド インスタンスを指す外部ネットワーク ロード バランサー。Web サーバーは、必要に応じてリクエストをクラウド ストレージに転送します。
正解:C
解説:
An external HTTP(S) load balancer is a Google-recommended solution for distributing web traffic across multiple regions and zones, and providing high availability, scalability, and security for web applications. It supports both IPv4 and IPv6 addresses, and can handle SSL/TLS termination and encryption. It also integrates with Cloud CDN, Cloud Armor, and Cloud Identity-Aware Proxy for enhanced performance and protection. A managed instance group (MIG) can be used as a backend service for the HTTP(S) load balancer, and can automatically scale the number of VM instances based on the CPU load. A Cloud Storage bucket can also be used as a backend service for the HTTP(S) load balancer, and can serve static content such as images, videos, or HTML files. A URL map can be used to route requests to different backend services based on the path or host of the request. For example, a URL map can send requests for /static/* to the Cloud Storage bucket, and requests for /dynamic/* to the MIG. A managed SSL certificate can be used to secure the connection between the clients and the load balancer, and can be automatically provisioned and renewed by Google.
A is incorrect because an internal HTTP(S) load balancer is only visible within a VPC network, and not to the public internet. It is used for internal applications that need to communicate with other internal services. Identity-Aware Proxy is a service that provides secure access to web applications without using a VPN. It is not a load balancer, and it does not distribute user traffic.
B is incorrect because installing HTTPS certificates on the instance is not necessary, as the HTTP(S) load balancer can handle SSL/TLS termination and encryption. It is also more complex and less secure to manage the certificates on the instance level, as they need to be updated and synchronized across multiple instances.
D is incorrect because an external network load balancer is a TCP/UDP load balancer that operates at the network layer. It is not suitable for web applications that use HTTP(S) protocols, as it does not support SSL/TLS termination and encryption, URL maps, or Cloud Storage backends. It is also less efficient and scalable to forward the requests to the Cloud Storage from the web servers, as it adds an extra hop and latency.
Reference:
HTTP(S) Load Balancing documentation
Setting up HTTP(S) Load Balancing with Cloud Storage
Creating and using SSL certificates
Choosing a load balancer
質問 # 163
デプロイメントでリソースのダウンタイムを発生させることなく、デプロイメントマネージャーでデプロイメントを更新する必要があります。どのコマンドを使用しますか?
- A. gcloud deployment-manager resources create --config <deployment-config-path>
- B. gcloud deployment-manager deployments update --config <deployment-config-path>
- C. gcloud deployment-manager resources update --config <deployment-config-path>
- D. gcloud deployment-manager deployments create --config <deployment-config-path>
正解:B
解説:
Update and create resource is not even a command under deployment management service.
https://cloud.google.com/sdk/gcloud/reference/deployment-manager/deployments/update
質問 # 164
あなたの会社の中核事業は、建設機械を大規模に貸し出すことです。レンタルされているすべての機器には、数秒ごとにイベント情報を送信する複数のセンサーが装備されています。これらの信号は、エンジンの状態、走行距離、燃料レベルなどによって異なります。これらのセンサーによって監視される消費量に基づいて、顧客に請求されます。デバイスあたり1時間あたり最大数千のイベントである高スループットを期待し、イベントの時間に基づいて一貫性のあるデータを取得する必要があります。個々のシグナルの保存と取得はアトミックである必要があります。あなたは何をするべきか?
- A. データをCloud Bigtableに取り込みます。イベントのタイムスタンプに基づいて行キーを作成します。
- B. データをDatastoreに取り込みます。デバイスに基づいてエンティティグループにデータを保存します。
- C. デバイスごとにCloud Storageにファイルを作成し、そのファイルに新しいデータを追加します。
- D. デバイスごとにCloud Filestoreにファイルを作成し、そのファイルに新しいデータを追加します。
正解:B
質問 # 165
us-central1-a の Compute Engine 仮想マシン(VM)からアプリケーションをホストしています。単一の Compute Engine ゾーンの障害をサポートし、ダウンタイムを排除し、コストを最小限に抑えるように設計を調整したいと考えています。あなたは何をするべきか?
- A. - アプリケーションの定期的なバックアップを実行します。
-クラウドモニタリングアラートを作成し、アプリケーションが利用できなくなった場合に通知を受け取ります。
-通知されたらバックアップから復元します。 - B. - Compute Engine リソースを us-central1-b に作成します。
- us-central1-a と us-central1-b の両方で負荷のバランスをとります。 - C. - HTTP(S) ロード バランサを作成します。
- 1 つ以上のグローバル転送ルールを作成して、トラフィックを VM に転送します。 - D. - マネージド インスタンス グループを作成し、ゾーンとして us-central1-a を指定します。
- 短いヘルス間隔でヘルスチェックを設定します。
正解:B
解説:
Choosing a region and zone You choose which region or zone hosts your resources, which controls where your data is stored and used. Choosing a region and zone is important for several reasons:
Handling failures
Distribute your resources across multiple zones and regions to tolerate outages. Google designs zones to be independent from each other: a zone usually has power, cooling, networking, and control planes that are isolated from other zones, and most single failure events will affect only a single zone. Thus, if a zone becomes unavailable, you can transfer traffic to another zone in the same region to keep your services running.
Similarly, if a region experiences any disturbances, you should have backup services running in a different region. For more information about distributing your resources and designing a robust system, see Designing Robust Systems. Decreased network latency To decrease network latency, you might want to choose a region or zone that is close to your point of service.
https://cloud.google.com/compute/docs/regions-zones#choosing_a_region_and_zone
質問 # 166
クラスター上に3つのレプリカを使用して、Deployment-Aと呼ばれるKubernetesデプロイメントを作成しました。 Deployment-Bと呼ばれる別のデプロイメントでは、Deployment-Aにアクセスする必要があります。クラスターの外部にDeployment-Aを公開することはできません。あなたは何をするべきか?
- A. デプロイメントAのタイプNodePortのサービスと、そのサービスの入力リソースを作成します。
デプロイメントBに入力IPアドレスを使用させます。 - B. デプロイメントAのタイプLoadBalancerのサービスと、そのサービスの入力リソースを作成します。デプロイメントBに入力IPアドレスを使用させます。
- C. デプロイメントA用にタイプLoadBalancerのサービスを作成します。デプロイメントBにサービスIPアドレスを使用させます。
- D. デプロイメントA用にタイプClusterIPのサービスを作成します。デプロイメントBにサービスIPアドレスを使用させます。
正解:D
解説:
A is not correct because this exposes Deployment A over the public internet.
B is not correct because LoadBalancer will expose the service publicly.
C is not correct because this exposes the service externally using a cloud provider's load balancer, and Ingress can work only with nodeport, not LoadBalancer.
D is correct because this exposes the service on a cluster-internal IP address. Choosing this method makes the service reachable only from within the cluster.
https://kubernetes.io/docs/concepts/services-networking/service/
質問 # 167
あなたは10人の開発者のグループのチームリーダーです。各デベロッパーに個別のGoogle Cloudプロジェクトを提供しました。これらのプロジェクトは、さまざまなGoogle Cloudソリューションを試すための個人のサンドボックスとして使用できます。
サンドボックス環境で1か月あたり500ドル以上を費やしている開発者がいる場合は、通知を受け取る必要があります。あなたは何をするべきか?
- A. サンドボックスプロジェクトごとに個別の請求先アカウントを作成し、BigQuery請求書エクスポートを有効にします。データスタジオのダッシュボードを作成して、請求先アカウントごとの支出をプロットします。
- B. すべてのプロジェクトに単一の予算を作成し、この予算に予算アラートを構成します。
- C. すべてのサンドボックスプロジェクトに対して単一の請求先アカウントを作成し、BigQuery請求書エクスポートを有効にします。データスタジオダッシュボードを作成して、プロジェクトごとの支出をプロットします。
- D. プロジェクトごとに予算を作成し、これらすべての予算について予算アラートを構成します。
正解:D
解説:
Reference:
https://cloud.google.com/billing/docs/how-to/budgets
質問 # 168
マネージドインスタンスグループのCompute Engine VMにアプリケーションをデプロイしています。アプリケーションは常に実行されている必要がありますが、1つのGCPプロジェクトで実行できるVMのインスタンスは1つだけです。インスタンスグループをどのように構成する必要がありますか?
- A. 自動スケーリングをオフに設定し、インスタンスの最小数を1に設定してから、インスタンスの最大数を2に設定します。
- B. 自動スケーリングをオンに設定し、インスタンスの最小数を1に設定してから、インスタンスの最大数を1に設定します。
- C. 自動スケーリングをオンに設定し、インスタンスの最小数を1に設定してから、インスタンスの最大数を2に設定します。
- D. 自動スケーリングをオフに設定し、インスタンスの最小数を1に設定してから、インスタンスの最大数を1に設定します。
正解:B
質問 # 169
外部監査人のために、BigQuery で IAM アクセス監査ロギングを構成する必要があります。Google が推奨する方法に従いたい。あなたは何をするべきか?
- A. 監査人ユーザー アカウントを 2 つの新しいカスタム IAM ロールに追加します。
- B. auditers グループを 2 つの新しいカスタム IAM ロールに追加します。
- C. auditers グループを「logging.viewer」および「bigQuery.dataViewer」の定義済み IAM ロールに追加します。
- D. 監査者のユーザー アカウントを「logging.viewer」および「bigQuery.dataViewer」の定義済み IAM ロールに追加します。
正解:D
質問 # 170
組織には、Google Cloudプロジェクトのすべてのサービスアカウントを作成および管理する専任の担当者がいます。この人にプロジェクトの最低限の役割を割り当てる必要があります。あなたは何をするべきか?
- A. Add the user to roles/iam.roleAdmin role.
- B. Add the user to roles/iam.serviceAccountAdmin role.
- C. Add the user to roles/iam.serviceAccountUser role.
- D. Add the user to roles/iam.securityAdmin role.
正解:C
解説:
Reference:
https://cloud.google.com/iam/docs/creating-managing-service-accounts
質問 # 171
クラスタオートスケーラー機能を有効にして、Google Kubernetes Engine(GKE)クラスタを作成しています。クラスタの各ノードが、コンテナメトリックをサードパーティのモニタリングソリューションに送信するモニタリングポッドを実行することを確認する必要があります。あなたは何をするべきか?
- A. DaemonSetオブジェクトにモニタリングポッドをデプロイします。
- B. Deploymentオブジェクトでモニタリングポッドを参照します。
- C. GKEクラスタの作成時に、クラスタ初期化子でモニタリングポッドを参照します。
- D. 監視ポッドをStatefulSetオブジェクトにデプロイします。
正解:A
解説:
Some typical uses of a DaemonSet are:
- running a cluster storage daemon on every node
- running a logs collection daemon on every node
- running a node monitoring daemon on every node
https://kubernetes.io/docs/concepts/workloads/controllers/daemonset/
質問 # 172
あなたの経営陣は外部監査人に特定のプロジェクトのすべてのリソースをレビューするように依頼しました。セキュリティチームは、Cloud Identityドメインのみを指定することにより、組織ノードでドメイン制限付き共有と呼ばれる組織ポリシーを有効にしました。監査人がそのプロジェクトのリソースを表示できるだけで、変更はできないようにする必要があります。あなたは何をするべきか?
- A. Cloud Identityで監査者用の一時的なアカウントを作成し、そのアカウントにプロジェクトの閲覧者の役割を付与します。
- B. 監査人にGoogleアカウントを要求し、プロジェクトのセキュリティレビュー担当者の役割を付与します。
- C. 監査人にGoogleアカウントを要求し、プロジェクトの閲覧者の役割を付与します。
- D. Cloud Identityで監査者用の一時的なアカウントを作成し、そのアカウントにプロジェクトのセキュリティレビュー担当者の役割を付与します。
正解:A
解説:
Using primitive roles The following table lists the primitive roles that you can grant to access a project, the description of what the role does, and the permissions bundled within that role. Avoid using primitive roles except when absolutely necessary. These roles are very powerful, and include a large number of permissions across all Google Cloud services. For more details on when you should use primitive roles, see the Identity and Access Management FAQ. IAM predefined roles are much more granular, and allow you to carefully manage the set of permissions that your users have access to. See Understanding Roles for a list of roles that can be granted at the project level. Creating custom roles can further increase the control you have over user permissions. https://cloud.google.com/resource-manager/docs/access-control-proj#using_primitive_roles
https://cloud.google.com/iam/docs/understanding-custom-roles
質問 # 173
最小限の手順で、会社の部門のGCPサービスコストを削減する必要があります。既存のGCPプロジェクトで構成されているすべてのサービスをオフにする必要があります。あなたは何をするべきか?
- A. 1.このプロジェクトの組織管理者IAMロールが割り当てられていることを確認します。
2. GCP Consoleでプロジェクトに切り替え、リソースを見つけて削除します。 - B. 1.このプロジェクトのプロジェクトオーナーIAM役割が割り当てられていることを確認します。
2. GCP Consoleでプロジェクトに切り替え、リソースを見つけて削除します。 - C. 1.このプロジェクトの組織管理者IAMロールが割り当てられていることを確認します。
2. GCP Consoleでプロジェクトを見つけ、プロジェクトIDを入力して、[シャットダウン]をクリックします。 - D. 1.このプロジェクトのプロジェクトオーナーIAM役割が割り当てられていることを確認します。
2. GCP Consoleでプロジェクトを見つけ、[シャットダウン]をクリックして、プロジェクトIDを入力します。
正解:D
解説:
Explanation
https://cloud.google.com/run/docs/tutorials/gcloud
https://cloud.google.com/resource-manager/docs/creating-managing-projects
https://cloud.google.com/iam/docs/understanding-roles#primitive_roles
You can shut down projects using the Cloud Console. When you shut down a project, this immediately happens: All billing and traffic serving stops, You lose access to the project, The owners of the project will be notified and can stop the deletion within 30 days, The project will be scheduled to be deleted after 30 days.
However, some resources may be deleted much earlier.
質問 # 174
......
Associate-Cloud-Engineer日本語[2025年02月] 最新リリース] 試験問題あなたを必ず合格させます:https://www.goshiken.com/Google/Associate-Cloud-Engineer-JPN-mondaishu.html