AccueilCertificationsPCSE › Questions gratuites

Questions gratuites PCSE — Google Professional Cloud Security Engineer

Téléchargez gratuitement 60 questions d'entraînement pour la certification PCSE proposée par Google. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.

Caractéristiques de l'examen blanc

Code de certificationPCSE
ÉditeurGoogle
Nombre de questions60
TypeQCM avec 4 réponses possibles
Niveauprofessional
CatégorieSecurity
Prix100% gratuit

Aperçu de 8 questions représentatives

Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement PCSE. Pour accéder aux 60 questions complètes, lancez l'examen blanc gratuitement.

Question 1
Votre entreprise utilise Workload Identity Federation pour permettre à des workloads s'exécutant sur AWS d'accéder à des ressources Google Cloud sans clés de compte de service. Un architecte remarque que des workloads provenant de n'importe quel compte AWS peuvent potentiellement s'authentifier. Comment restreindre l'accès uniquement aux workloads provenant d'un compte AWS spécifique (123456789012) et d'un rôle IAM AWS précis ?
  1. A. Configurer un attribute condition sur le Workload Identity Pool Provider avec l'expression : assertion.arn.startsWith('arn:aws:sts::123456789012:assumed-role/MonRole').
  2. B. Créer une Organization Policy personnalisée qui bloque les authentifications provenant de comptes AWS non autorisés.
  3. C. Configurer un firewall rule dans VPC Service Controls pour filtrer les requêtes par adresse IP source AWS.
  4. D. Modifier la policy IAM du compte de service Google Cloud pour inclure une condition basée sur request.auth.claims.aws_account.
Question 2
Vous êtes Security Engineer dans une société fintech. Votre équipe SOC détecte des requêtes suspectes exploitant une vulnérabilité Log4j (CVE-2021-44228) ciblant vos services déployés sur GKE derrière un Global External Application Load Balancer avec Cloud Armor. Vous devez mettre en place une protection immédiate. Quelle est la meilleure stratégie ?
  1. A. Patcher immédiatement toutes les images de containers GKE et redéployer l'intégralité de l'application
  2. B. Activer les règles préconfigurées WAF de Cloud Armor en appliquant le ruleset cve-canary qui couvre les vulnérabilités Log4j et configurer la sensitivity level appropriée
  3. C. Configurer Cloud Armor Adaptive Protection en mode automatique et attendre qu'il détecte et bloque automatiquement les tentatives d'exploitation
  4. D. Créer une règle Cloud Armor personnalisée utilisant une expression CEL qui inspecte les headers et le body des requêtes pour détecter les patterns JNDI lookup typiques de Log4j
Question 3
Votre entreprise migre vers Google Cloud et souhaite appliquer le principe du moindre privilège. Un développeur doit pouvoir déployer des Cloud Functions et consulter les logs associés, mais ne doit pas pouvoir modifier les règles de pare-feu ni accéder aux données de production dans Cloud Storage. Quelle approche IAM est la plus appropriée ?
  1. A. Attribuer le rôle roles/editor au niveau du projet pour simplifier la gestion des accès.
  2. B. Créer un custom role combinant les permissions cloudfunctions.functions.deploy, cloudfunctions.functions.get, logging.logEntries.list et logging.logs.list, puis l'attribuer au développeur au niveau du projet.
  3. C. Attribuer les rôles prédéfinis roles/cloudfunctions.developer et roles/logging.viewer au niveau du projet.
  4. D. Attribuer le rôle roles/owner au niveau du folder contenant le projet de développement.
Question 4
Une entreprise du secteur financier héberge une application critique sur Google Cloud. La réglementation impose que l'entreprise conserve le contrôle exclusif de ses clés de chiffrement et puisse révoquer l'accès de Google à ces clés à tout moment, tout en continuant à utiliser les services Google Cloud natifs comme Compute Engine et BigQuery. Quelle solution répond à ces exigences ?
  1. A. Utiliser Cloud KMS avec des clés de protection SOFTWARE et configurer une politique Organization Policy pour restreindre l'accès
  2. B. Déployer Cloud External Key Manager (Cloud EKM) intégré avec un gestionnaire de clés externe (external key manager) on-premises ou chez un fournisseur tiers
  3. C. Utiliser Customer-Supplied Encryption Keys (CSEK) pour tous les services Google Cloud
  4. D. Chiffrer toutes les données côté client avant de les envoyer vers Google Cloud et gérer les clés dans un vault on-premises
Question 5
Un auditeur de sécurité examine votre organisation Google Cloud et constate qu'un ancien employé, parti il y a 3 mois, dispose toujours d'un binding IAM roles/bigquery.admin sur un projet contenant des données clients sensibles. L'identité Google Workspace de cet employé a été suspendue le jour de son départ. Quelle affirmation est correcte concernant la posture de sécurité actuelle et quelle action corrective prioritaire recommandez-vous ?
  1. A. Le risque est nul car la suspension du compte Workspace empêche toute authentification. Aucune action n'est requise.
  2. B. Le binding IAM orphelin représente un risque si le compte Workspace est réactivé par erreur. Il faut supprimer le binding IAM et auditer tous les projets avec IAM Recommender pour détecter d'autres bindings orphelins.
  3. C. Le binding IAM orphelin génère des coûts BigQuery supplémentaires même si le compte est suspendu. Il faut le supprimer pour réduire les coûts.
  4. D. Le risque principal est que l'ancien employé puisse utiliser une clé API pour contourner la suspension Workspace et accéder à BigQuery avec ses anciens privilèges.
Question 6
Votre entreprise a une politique stricte de souveraineté des données exigeant que les clés de chiffrement ne soient jamais accessibles à Google et restent sous le contrôle exclusif de votre organisation. Vous devez néanmoins utiliser des services Google Cloud comme BigQuery et Compute Engine. Quelle solution répond le mieux à cette exigence tout en minimisant la complexité opérationnelle ?
  1. A. Utiliser le chiffrement par défaut de Google (Google-managed encryption keys) car Google ne peut techniquement pas accéder aux clés.
  2. B. Utiliser Cloud KMS avec des clés de protection level HSM et configurer une politique d'organisation pour restreindre les régions.
  3. C. Utiliser Cloud External Key Manager (Cloud EKM) avec un gestionnaire de clés externe compatible, combiné à Key Access Justifications.
  4. D. Utiliser Customer-Supplied Encryption Keys (CSEK) pour tous les services Google Cloud nécessaires.
Question 7
Votre organisation déploie une API REST sur Google Cloud accessible uniquement depuis des partenaires B2B identifiés. L'API est exposée via un Global External Application Load Balancer avec Cloud Armor. Vous devez implémenter une politique de sécurité qui autorise uniquement le trafic provenant des plages IP de vos partenaires, tout en appliquant un rate limiting différencié par partenaire. Le partenaire Alpha (plage 203.0.113.0/24) a droit à 1000 requêtes/minute et le partenaire Beta (plage 198.51.100.0/24) a droit à 500 requêtes/minute. Comment structurer votre security policy Cloud Armor ?
  1. A. Créer une seule security policy avec deux règles throttle : priorité 1000 pour Alpha avec rate_limit_threshold count=1000 interval_sec=60, priorité 2000 pour Beta avec count=500 interval_sec=60, et une règle par défaut deny(403).
  2. B. Créer deux security policies distinctes, une par partenaire, chacune avec sa propre règle de rate limiting, et attacher les deux policies au même backend service.
  3. C. Créer une seule security policy avec deux règles allow pour les plages IP des partenaires, puis configurer le rate limiting au niveau du backend service via les paramètres de capacité maximale (max-rate-per-endpoint).
  4. D. Créer une security policy avec une seule règle throttle combinant les deux plages IP via l'expression request.headers['X-Partner-ID'], en utilisant un header personnalisé pour différencier les partenaires.
Question 8
Votre organisation Google Cloud utilise des groupes Google Workspace pour gérer l'accès IAM. L'équipe '[email protected]' dispose du rôle roles/bigquery.dataEditor sur le dataset 'analytics' du projet 'data-prod'. Un nouveau data engineer, Alice, est ajoutée au groupe. Simultanément, l'équipe sécurité crée une IAM Deny Policy au niveau du folder 'production' qui refuse la permission bigquery.tables.delete à tous les principals sauf le compte de service [email protected]. Quel est le résultat effectif pour Alice concernant le dataset 'analytics' ?
  1. A. Alice peut effectuer toutes les opérations accordées par roles/bigquery.dataEditor, y compris la suppression de tables, car les allow policies au niveau du dataset prennent priorité sur les deny policies au niveau du folder.
  2. B. Alice peut effectuer toutes les opérations accordées par roles/bigquery.dataEditor sauf la suppression de tables, car les deny policies s'évaluent avant les allow policies et l'exception ne concerne que le compte de service sa-admin.
  3. C. Alice ne peut effectuer aucune opération sur le dataset car l'ajout au groupe nécessite un délai de propagation de 24 heures avant que les permissions soient effectives.
  4. D. Alice peut supprimer des tables car elle hérite des permissions du groupe, et les deny policies ne s'appliquent pas aux permissions héritées via des groupes.

Accédez aux 60 questions complètes gratuitement

Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.

Lancer l'examen blanc PCSE →

Pourquoi s'entraîner avec Certifexpress ?