PCSE

核心服务

• Cloud IAMAWS 文档 ↗

  身份、角色和策略基础服务——预定义和自定义角色、IAM Conditions、拒绝策略以及资源层次结构继承共同强制执行每一项授权决策。

  为什么会出现在考试中： 领域 1 (配置访问权限) 完全围绕 IAM 机制展开——最小权限角色设计、IAM Conditions 以及跨组织/文件夹/项目层次结构的策略评估是考查最多的主题。

• Cloud Identity + BeyondCorp EnterpriseAWS 文档 ↗

  与外部 IdP 联合的企业身份存储，结合 BeyondCorp Enterprise 上下文感知访问，无需 VPN 即可实现零信任应用程序门控。

  为什么会出现在考试中： 领域 1 考查联合企业身份和 BeyondCorp 模型——考试中，上下文感知访问策略和设备信任信号取代了网络边界信任。

• VPC Service ControlsAWS 文档 ↗

  围绕托管的 Google Cloud API（如 BigQuery, GCS 等）构建服务边界，即使 IAM 授权配置错误也能阻止数据外泄。

  为什么会出现在考试中： 领域 2 (数据保护) 将 VPC Service Controls 视为防止数据外泄和将敏感项目与公共互联网隔离的规范答案。

• Cloud KMS + Cloud HSM + Cloud External Key ManagerAWS 文档 ↗

  分层密钥管理——软件支持的 KMS、FIPS 140-2 L3 HSM 保护的密钥以及用于管理 Google Cloud 外部客户持有密钥的 EKM，均提供相同的 API 接口。

  为什么会出现在考试中： 领域 2 考查何时选择 CMEK、CSEK 或 EKM，以及密钥轮换、密钥上的 IAM 授权和 Cloud KMS Autokey 如何强制执行静态加密。

• Security Command CenterAWS 文档 ↗

  云原生 CSPM 和威胁检测平台——高级版和企业版通过事件威胁检测、容器威胁检测和 SHA 发现，揭示整个组织中的错误配置、漏洞和活跃威胁。

  为什么会出现在考试中： 领域 4 (安全运营) 将 SCC 定为集中式态势管理、漏洞分类和整个 GCP 组织活跃威胁调查的答案。

• Cloud ArmorAWS 文档 ↗

  位于全球 HTTP(S) 负载均衡器之前的边缘 WAF 和 DDoS 保护服务——提供预配置的 OWASP 规则、自定义规则、基于速率的封禁和自适应 ML 保护。

  为什么会出现在考试中： 领域 3 (通信和边界保护) 考查 Cloud Armor 用于减轻 L7 攻击和对暴露于互联网的应用程序进行边缘速率限制。

• Identity-Aware Proxy (IAP)AWS 文档 ↗

  应用程序层零信任网关，无需 VPN 即可对 App Engine、Cloud Run、GKE Ingress 和 Compute Engine 应用程序的每个请求进行身份验证和授权。

  为什么会出现在考试中： 领域 1 引用 IAP 作为用每请求身份检查取代 VPN 的规范答案；领域 3 将其重新用于 SSH/RDP 隧道，而无需公开暴露实例。

• Cloud Asset InventoryAWS 文档 ↗

  整个组织中所有资源和 IAM 策略的时序目录，可导出到 BigQuery 进行即席查询，并通过 Pub/Sub 提供基于馈送的变更通知。

  为什么会出现在考试中： 领域 4 和 5 使用 Cloud Asset Inventory 作为合规性证据（“展示 2024-01-01 上的所有公共存储桶”）和检测与批准基线的偏差。

专用服务

• Secret ManagerAWS 文档 ↗

  托管式密钥存储，具备自动复制、版本控制、IAM 门控访问、客户管理的加密密钥，并通过 Cloud Functions 提供轮换钩子。

  为什么会出现在考试中： 领域 2 考查 Secret Manager 如何解决“停止将 API 密钥提交到源代码管理”的问题，以及 IAM Conditions 和 VPC-SC 如何隔离密钥访问。

• Sensitive Data Protection (formerly Cloud DLP)AWS 文档 ↗

  PII 发现、分类和去标识化——可检测 150 多种 infoType，原地屏蔽/标记化/删除，并为 BigQuery 和 Cloud Storage 生成风险配置文件。

  为什么会出现在考试中： 领域 2 将 Sensitive Data Protection 列为在 ML 训练或外部共享之前，扫描数据湖和 BigQuery 中 PII 的规范服务。

• Binary AuthorizationAWS 文档 ↗

  适用于 GKE、Cloud Run 和 Anthos 的准入控制，仅允许来自构建流水线（如 Cloud Build）携带有效证明的容器镜像。

  为什么会出现在考试中： 领域 3 考查 Binary Authorization 作为供应链控制，阻止未签名或未扫描的镜像进入生产集群。

• Workload Identity FederationAWS 文档 ↗

  为外部工作负载（AWS、Azure、GitHub Actions、OIDC IdP）颁发短期凭证，使其无需长期服务帐号密钥即可调用 Google Cloud API。

  为什么会出现在考试中： 领域 1 和领域 2 都将 Workload Identity Federation 考查为消除可下载服务帐号密钥的明确答案——这是一个常见的考试反模式。

• Confidential ComputingAWS 文档 ↗

  机密虚拟机和机密 GKE 节点在 AMD SEV / Intel TDX 硬件上运行工作负载，使内存内容即使对于主机管理程序也保持加密状态。

  为什么会出现在考试中： 领域 2 引用 Confidential Computing 用于保护使用中的数据——在共享基础设施上运行的受监管工作负载（医疗保健、金融）是一个常见场景。

• Access Context Manager + Access ApprovalAWS 文档 ↗

  访问级别（设备、IP、地理位置）为 VPC-SC 和 IAP 规则提供依据；Access Approval 要求在 Google 人员为支持目的访问您的数据之前，获得客户的明确批准。

  为什么会出现在考试中： 领域 1 使用 Access Context Manager 进行上下文感知策略编写；领域 5 (合规性) 引用 Access Approval 用于需要提供商访问审计跟踪的受监管行业。

• Artifact Registry + Container AnalysisAWS 文档 ↗

  用于容器镜像、Maven、npm 等的私有工件存储库，具备容器分析漏洞扫描功能，并将发现结果反馈到 Security Command Center。

  为什么会出现在考试中： 领域 3 + 领域 4 考查供应链模式：在 Artifact Registry 中存储镜像，通过 Container Analysis 进行扫描，并通过 Binary Authorization 门控部署。

• Web Security ScannerAWS 文档 ↗

  托管式动态应用程序安全测试 (DAST)，用于爬取 App Engine、Compute Engine 和 GKE 前置的应用程序，以查找 XSS、混合内容、过时库和 OWASP Top 10 问题。

  为什么会出现在考试中： 领域 3 引用 Web Security Scanner 作为无需部署单独 DAST 堆栈即可发现应用程序层漏洞的 GCP 原生答案。

安全与治理

• Organization Policy ServiceAWS 文档 ↗

  分层护栏——布尔型和列表型约束，限制跨文件夹和项目的资源配置（例如，禁止外部 IP、允许的区域、强制要求 CMEK 等）。

  为什么会出现在考试中： 领域 5 (合规性) 将组织策略命名为补充 IAM 的预防性控制，可在风险配置存在之前将其阻止。

• Cloud Audit Logs + Cloud LoggingAWS 文档 ↗

  Admin Activity、Data Access、System Event 和 Policy Denied 审计流，以及 Cloud Logging 路由到 BigQuery、GCS、Pub/Sub 或 Chronicle 进行长期保留。

  为什么会出现在考试中： 领域 4 + 领域 5 使用审计日志作为“谁做了什么”的不可变证据记录，路由/日志接收器决定合规性保留的位置。

• Compliance Reports ManagerAWS 文档 ↗

  自助服务门户，用于下载 SOC、ISO、PCI DSS、FedRAMP 和 HIPAA 证明报告，并为 FedRAMP High 和符合 HIPAA 条件的工作负载提供持续监控。

  为什么会出现在考试中： 领域 5 (合规性) 直接考查从何处获取 Google Cloud 第三方证明以及如何跟踪哪些服务属于每个范围。

• Google Security Operations (Chronicle SIEM)AWS 文档 ↗

  云原生 SIEM 和 SOAR 平台——摄取 Cloud Audit Logs、EDR 遥测数据和第三方馈送，在 YARA-L 中运行检测规则，并协调响应手册。

  为什么会出现在考试中： 领域 4 引用 Chronicle 作为 Cloud Audit Logs 的企业 SIEM 目标，以及将高保真检测结果反馈到 Security Command Center 的来源。

典型职位

• 云安全工程师 (GCP)
• 云安全架构师
• 高级安全工程师
• GRC / 合规工程师
• 安全解决方案架构师（售前）
• 检测与响应工程师
• 首席安全工程师（云）

薪资范围（美国，估算）

$140k–$195k–$285k USD 每年

此范围反映了以 GCP 为主要平台的美国高级云安全工程师和架构师的薪资。FAANG L5 安全工程师的总薪酬可超过 30 万美元。云安全在所有三大主流云平台中都享有溢价；PCSE 候选人在 FAANG 的薪资水平略高于 AWS Security Specialty 等效职位，原因在于 GCP 技能型候选人池较小。

来源：levels.fyi 2025–2026 (Google L5–L6 security engineers, FAANG and unicorn senior cloud security), U.S. BLS OEWS May 2024 (15-1212 信息安全分析师, 15-1241 计算机网络架构师)。数据为估算值；实际薪酬取决于职位、地区和经验。

市场需求

随着企业 GCP 采用率和监管压力的增加，PCSE 的需求在 2024-2026 年间稳步增长。对于拥有安全实践的 Google Cloud 合作伙伴、大型受监管企业（金融服务、医疗保健、公共部门）以及 Google 自身的客户工程安全专家，需求旺盛。该认证在多云安全团队中也很有价值，PCSE 与 AWS Security Specialty 或 Azure AZ-500 搭配使用，表明具备真正的跨云深度。持证者持续报告招聘人员反应强烈——合格的 GCP 安全工程师相对于 AWS 而言，仍是一个较小的候选人池。