SAA1.1 AWS リソースへのセキュアなアクセス 1 / 10 ある企業では複数の部署がAWSサービスを使用する予定です。組織全体の中央ポリシーと設定要件を設定したり、各部署に対してカスタムのアクセス許可や機能を作成・管理する場合、どのAWSサービスを使用する必要がありますか。 Amazon CloudWatch Amazon Inspector AWS Trusted Advisor AWS Organizations 【正解】 「AWS Organizations」は、組織全体の中央ポリシーと設定要件を設定し、各部署に対してカスタムのアクセス許可または機能を作成、管理するためのツールであるため、正解です。 《参考》AWS Organizations 【不正解選択肢の説明】 「AWS Trusted Advisor」は、AWSのベストプラクティスに基づいてリソースを最適化するためのアドバイスを提供するツールであり、中央ポリシーの設定やカスタムのアクセス許可の管理には使用できないため、不正解です。 「Amazon CloudWatch」は、AWSリソースとアプリケーションの監視を行うためのツールであり、中央ポリシーの設定やアクセス許可の管理には使用できないため、不正解です。 「Amazon Inspector」は、セキュリティ脆弱性の評価を行うためのツールであり、中央ポリシーの設定やアクセス許可の管理には使用できないため、不正解です。 2 / 10 ある企業では、AWSの複数のアカウントを管理するためにAWS Organizationsを使用しています。コスト管理のために各プロジェクトはタグ付けされており、開発環境、本番環境を管理しています。開発者アカウントでは許可されたプリンシパル以外のタグ変更を認めないようにすることを検討しています。この要件を満たすソリューションを選択してください。 SG(Security group)を使用して変更権限が管理する。 Service Catalogを使用して変更権限が管理する。 SCP(サービスコントロールポリシー)を作成し、適用するOU(組織単位)にアタッチする。 AWS CloudFormationを使用して変更権限を管理する。 【正解】 「SCP(サービスコントロールポリシー)を作成し、適用するOU(組織単位)にアタッチする。」は、AWS Organizationsで使用されるポリシーで、特定の操作(この場合、タグの変更)を特定のプリンシパルに対して制限することができます。これにより、開発者アカウントで許可されたプリンシパル以外がタグを変更することを防ぐことができます。 《参考》SCP(サービスコントロールポリシー) 評価 【不正解選択肢の説明】 「Service Catalogを使用して変更権限が管理する。」は、AWS Service Catalogはカタログ化されたITサービスの管理を行うもので、タグ変更権限を管理する機能はありません。 「AWS CloudFormationを使用して変更権限を管理する。」は、AWS CloudFormationはリソースのデプロイを管理するツールであり、直接的にタグ変更権限を管理するための適切な手段ではありません。 「SG(Security group)を使用して変更権限が管理する。」は、セキュリティグループはネットワークアクセスの制御を行うものであり、タグ変更権限を管理するための機能はありません。 3 / 10 ある企業では、AWSの複数のアカウントを管理するためにAWS Organizationsを使用しています。新規アカウントを作成する際に、新規アカウントのユーザーが特定のAWSサービスへのアクセス制限を行うことを検討しています。この要件を達成するために、ソリューションアーキテクトはどのような対応をすべきでしょうか 特定のサービスへのアクセス制限を行うIAMポリシーを作成して、IAMポリシーを新規アカウントに適用する 特定サービスへのアクセスを拒否するSCP(サービスコントロールポリシー)を作成し、新規アカウントをOU(組織単位) に追加し、ルートOUにSCPを適用します。 Service Catalogによって権限を制限する 特定サービスへのアクセスを拒否するSCP(サービスコントロールポリシー)を作成し、新規アカウントをOU(組織単位) に追加し、追加したOUにSCPを適用します。 【正解】 「特定サービスへのアクセスを拒否するSCP(サービスコントロールポリシー)を作成し、新規アカウントをOU(組織単位) に追加し、新規ユーザーを追加したOUにSCPを適用します。」のSCP (サービスコントロールポリシー) は、AWS Organizationsを使用して、組織単位 (OU) 内のアカウントに対してアクセス制限を課すことができます。この方法により、新規アカウントに対しても一貫したポリシー適用が可能です。 《参考》SCP(サービスコントロールポリシー) 評価 – 拒否のSCPs仕組み 【不正解選択肢の説明】 「特定のサービスへのアクセス制限を行うIAMポリシーを作成して、IAMポリシーを新規アカウントに適用する」は、IAMポリシーは個々のアカウントやユーザーに対して適用するものであり、複数アカウントを統一的に管理するためのSCPの方が適しています。 「特定サービスへのアクセスを拒否するSCP(サービスコントロールポリシー)を作成し、新規アカウントをOU(組織単位) に追加し、ルートOUにSCPを適用します。」は、ルートOUにSCPを適用すると、全てのアカウントに影響を与えてしまうため、特定のOUに適用するのが正しい方法です。 「Service Catalogによって権限を制限する」は、Service Catalogは、サービスの提供や管理を行うものであり、直接的なアクセス制限を行う機能はありません。 4 / 10 特定のユーザーが、ルートユーザー認証情報を使用して、AWS Organizationsに所属しているアカウントの設定を変更しようとしましたが拒否されました。拒否される要因として最も適切なものを選択んでください。 Service Catalogによって権限が制限されている。 アカウントの設定変更はAWSサポートに連絡する必要がある。 AWS Configによって権限が制限されている。 サービスコントロールポリシー (SCP) を使用して、権限が制限されている。 【正解】 「サービスコントロールポリシー (SCP) を使用して、権限が制限されている。」は、AWS Organizationsの機能であり、SCPを使用してルートユーザーを含むアカウント内のユーザーに対する権限を制限できます。このため、SCPが原因で設定変更が拒否されることがあります。 《参考》サービスコントロールポリシー (SCP) を使用して、Organizations に予防的セキュリティコントロールを設定する 【不正解選択肢の説明】 「AWS Configによって権限が制限されている。」は、AWS Configはリソースの設定を追跡、監査、および評価するサービスであり、直接的に権限を制限する機能はありません。 「Service Catalogによって権限が制限されている。」は、AWS Service CatalogはITサービスをカタログ化して提供するサービスであり、権限の制限を行う機能はありません。 「アカウントの設定変更はAWSサポートに連絡する必要がある。」は、通常のアカウント設定変更においてAWSサポートの連絡を要件とすることはありません。 5 / 10 ある企業ではAWS Organizationsを用いて、AWSの複数のアカウントを管理しています。また、会社のアカウントを組織単位 (OU) に編成しました。OUの設定変更が行われた場合に管理者に変更を通知する必要があります。これらの要件を満たすアプローチはどれですか。 AWS Control Tower + Amazon SNS AWS CloudWatch + Amazon SNS AWS CloudTrail + Amazon SNS AWS Trusted Advisor + Amazon SNS 【正解】 「AWS Control Tower + Amazon SNS」は、AWS Control TowerがAWS Organizationsと連携してアカウント管理を行い、変更イベントをキャプチャします。これをAmazon SNSを使って通知する設定を行うことで、OUの設定変更があった場合に管理者に通知が可能です。 《参考》AWS Control Tower でドリフトを検出および解決する 【不正解選択肢の説明】 「AWS CloudTrail + Amazon SNS」は、CloudTrailがAPI呼び出しや操作の履歴を記録するサービスであり、特定のOUの設定変更に対する通知を直接設定する機能はありません。 「AWS CloudWatch + Amazon SNS」は、リソースの監視とアラーム設定を行うサービスで、OUの設定変更を検知するための適切なイベントソースとしては機能しません。 「AWS Trusted Advisor + Amazon SNS」は、アカウントの最適化とベストプラクティスに基づいた提案を行うサービスで、OUの設定変更に対する通知機能はありません。 6 / 10 AWSリソースへのアクセスをコントロールできる一時的セキュリティ認証情報を持つ、信頼されたユーザーを作成することができるAWSサービスを選択してください。 AWS Security Token Service (AWS STS) Amazon GuardDuty AWS Shield AWS CloudTrail 【正解】 「AWS Security Token Service (AWS STS)」は、一時的なセキュリティ認証情報を発行するためのサービスです。これにより、信頼されたユーザーがAWSリソースにアクセスできるようになります。これらの認証情報は、特定の期間のみ有効で、アクセスを細かくコントロールすることができます。 《参考》IAM の一時的な認証情報 【不正解選択肢の説明】 「AWS CloudTrail」は、AWSアカウントのAPIコールの記録と監査を行うサービスであり、認証情報の発行やアクセスのコントロールには直接関与しません。 「Amazon GuardDuty」は、AWSアカウントやワークロードの継続的なセキュリティ監視および脅威検出サービスであり、認証情報の発行を行うサービスではありません。 「AWS Shield」は、主にDDoS攻撃からの保護を提供するサービスであり、認証情報の発行やアクセスコントロールには直接関連していません。 7 / 10 ある企業はAWS上のAmazon EC2にウェブアプリケーションをホストしています。データベースとしてAmazon RDSが使用されており、プライベートサブネットに配置されています。Amazon EC2からRDSデータベースへの接続を確立するための適切な方法を選択してください。 Amazon EC2のセキュリティグループに、パブリックサブネット内のすべてのインスタンスからのインバウンドトラフィックを許可するルールを追加する RDSのセキュリティグループに、インターネットからのインバウンドトラフィックを許可するルールを追加する RDSのセキュリティグループに、Amazon EC2のセキュリティグループからのインバウンドトラフィックを許可するルールを追加する Amazon EC2のセキュリティグループに、RDSのセキュリティグループからのアウトバウンドトラフィックを許可するルールを追加する 【正解】 「RDSのセキュリティグループに、Amazon EC2のセキュリティグループからのインバウンドトラフィックを許可するルールを追加する」 は、Amazon EC2インスタンスがAmazon RDSにアクセスできるようにするためには、RDSのセキュリティグループでEC2のセキュリティグループからのインバウンドトラフィックを許可するルールを設定する必要があります。これにより、EC2からRDSへの通信が許可されます。 《参考》セキュリティグループを使用して AWS リソースへのトラフィックを制御する 【不正解選択肢の説明】 「Amazon EC2のセキュリティグループに、RDSのセキュリティグループからのアウトバウンドトラフィックを許可するルールを追加する」は、アウトバウンドトラフィックの設定は不要です。セキュリティグループはステートフルであり、パスが開かれると、リターンパスも開きます。 「RDSのセキュリティグループに、インターネットからのインバウンドトラフィックを許可するルールを追加する」は、RDSはプライベートサブネットに配置されているため、インターネットからの直接アクセスを許可することはセキュリティリスクとなります。 「Amazon EC2のセキュリティグループに、パブリックサブネット内のすべてのインスタンスからのインバウンドトラフィックを許可するルールを追加する」は、パブリックサブネット内のすべてのインスタンスからのトラフィックを許可することはセキュリティ上のリスクがあります。適切な方法は、特定のEC2セキュリティグループからのトラフィックを許可することです。 8 / 10 ある企業はAWS上にアプリケーションを構築しています。Amazon S3にファイルがアップロードされた際に、AWS Lambda関数を呼び出し、特定の処理をすることを検討しています。Lambda関数がAmazon S3に対して、アクセスする適切な方法を選択してください。 AWS Lambda関数の環境変数にAmazon S3のアクセスキーを設定する Lambda関数のコード内にS3へのアクセス許可をハードコードする Amazon S3バケットのバケットポリシーにLambda関数のARNを追加する Lambda関数のIAMロールにAmazon S3へのアクセス権限を付与する 【正解】 「Amazon S3バケットのイベント通知設定を利用してLambda関数をトリガーする」は正解です。S3バケットにイベント通知を設定することで、ファイルがアップロードされた際に指定したLambda関数が自動的に実行されるように設定できます。 《参考》Lambda 関数に Amazon S3 バケットへのアクセスを許可する方法を教えてください。 【不正解選択肢の説明】 「Amazon S3バケットに対してVPCエンドポイントを作成する」は不正解です。VPCエンドポイントはS3バケットに対するプライベート接続を確立するためのもので、Lambdaのトリガーとは関係ありません。 「AWS CloudTrailを使用して、S3バケットへのアクセスをモニタリングする」は不正解です。CloudTrailは監査やログのためのサービスであり、イベント通知やLambdaのトリガー機能は持っていません。 「Amazon S3のバケットポリシーでLambda関数のARNを指定する」は不正解です。バケットポリシーはアクセス制御のためのものであり、Lambda関数をトリガーする設定には使用されません。 9 / 10 ソリューションアーキテクトは、AWS上にAmazon Elastic Container Service (Amazon ECS)を用いてアプリケーションを構築しています。このアプリケーションは、AWSのAPIを使用してAmazon S3にデータをアップロードします。Amazon ECSがAmazon S3にデータをアップロードするための許可を与える方法を選択してください。 ECSが属するサブネットのACLからS3のサブネットのアクセス許可を行う ECSに対してアクセス許可を持つIAMロールを作成し、S3にIAMロールを適用する S3に対してアクセス許可を持つIAMロールを作成し、ECSタスク定義にIAMロールを適用する ECSのセキュリティグループを変更してS3のアクセス許可を行う 【正解】 「S3に対してアクセス許可を持つIAMロールを作成し、ECSタスク定義にIAMロールを適用する」は、ECSタスクがS3にアクセスするためには、タスクにIAMロールをアタッチする必要があります。このIAMロールには、S3に対する必要なアクセス許可が含まれています。 《参考》Amazon ECS タスクの IAM ロール 【不正解選択肢の説明】 「ECSに対してアクセス許可を持つIAMロールを作成し、S3にIAMロールを適用する」は、S3にIAMロールを直接適用することはできません。IAMロールはECSタスクにアタッチする必要があります。 「ECSが属するサブネットのACLからS3のサブネットのアクセス許可を行う」は、ネットワークACLはネットワークトラフィックを制御しますが、S3へのアクセス権限を管理するための適切な方法ではありません。 「ECSのセキュリティグループを変更してS3のアクセス許可を行う」は、セキュリティグループはネットワークレベルでのアクセスを制御しますが、S3へのアクセス権限を付与するためにはIAMロールを使用する必要があります。 10 / 10 AWSの責任共有モデルのうち、お客様の責任範囲を選択してください。 インフラストラクチャの不具合に対するパッチ適用 エッジロケーションの管理 ゲスト OS およびアプリケーションのパッチ適用 物理デバイスのライフサイクル管理 【正解】 「ゲスト OS およびアプリケーションのパッチ適用」は、お客様の責任範囲に含まれるため、正解です。お客様は自身が管理するEC2インスタンスのゲストOSやアプリケーションに対してパッチを適用する必要があります。 《参考》責任共有モデル 【不正解選択肢の説明】 「インフラストラクチャの不具合に対するパッチ適用」は、AWSの責任範囲に含まれるため、不正解です。AWSは物理的および仮想的なインフラストラクチャの保守およびパッチ適用を担当します。 「エッジロケーションの管理」は、AWSの責任範囲に含まれるため、不正解です。AWSはエッジロケーションのインフラストラクチャとその運用管理を担当します。 「物理デバイスのライフサイクル管理」は、AWSの責任範囲に含まれるため、不正解です。AWSはデータセンター内の物理的なサーバーやネットワーク機器の設置、保守、廃棄などを管理します。 次のパート