Q85 — AWS DOP-C02 第1章
第 85/100 問 | ← 第1章
ある企業がApplication Load Balancer(ALB)をアプリケーションアーキテクチャの一部として使用しています。同社はAWS Organizationsの組織内にあるAWSアカウントでALBを所有しています。同社は組織内の各AWSアカウントでAWS Configを構成済みです。 同社は、一連の共通ルールを含むAWS WAF Web ACLを対象のALBに適用する必要があります。これには今後作成されるALBも含まれます。各AWSアカウントの管理者は、セキュリティチームが提供する共通ルールに加えて、自身のAWS WAFルールをカスタマイズしたいと考えています。
- A. 組織に対してAWS Firewall Managerを構成します。Firewall Manager管理者アカウントでAWS WAFポリシーを作成します。自動修復を有効化し、Web ACLを定義します。ポリシー範囲を組織内のすべてのALBに適用するように構成します。 ✓
- B. 組織のマスターアカウントからAWS Resource Access Manager(AWS RAM)を使用して、組織内でリソース共有を有効化します。Web ACLを作成します。組織全体でWeb ACLのリソース共有を構成します。共有されたWeb ACLを組織内のすべてのALBに関連付けます。
- C. 自動修復機能付きのALB_WAF_ENABLED AWS Configマネージドルールを設定します。このルールを、すべてのALBにWeb ACLを作成・アタッチするように構成します。このルールを含むAWS Configコンプライアンスパッケージを作成します。コンプライアンスパッケージを組織内のすべてのAWSアカウントにデプロイします。
- D. 組織に対してAWS Firewall Managerを構成します。Firewall Manager管理者アカウントで、Web ACLを定義するAWS WAFポリシーを作成します。自動修復機能付きのALB_WAF_ENABLED AWS Configマネージドルールを設定します。このルールを、各AWSアカウント内のすべてのALBにWeb ACLをアタッチするように構成します。このルールを組織内のすべてのAWSアカウントにデプロイします。
正解: A. 組織に対してAWS Firewall Managerを構成します。Firewall Manager管理者アカウントでAWS WAFポリシーを作成します。自動修復を有効化し、Web ACLを定義します。ポリシー範囲を組織内のすべてのALBに適用するように構成します。
解説
AWS Firewall Managerは、組織全体のWAFポリシーを集中管理するためのマネージドサービスであり、新規ALBの自動検出・Web ACLの自動適用をサポートします。また、Firewall Managerは、共通ルール(マネージドポリシー)と各アカウントのカスタムルール(オーバーライド)を組み合わせる機能を提供します。選択肢AはFirewall Managerの標準的な利用方法であり、自動修復と全ALBへの適用をシンプルに実現します。選択肢BのAWS RAMはWAF Web ACLの共有をサポートしておらず、技術的に不適切です。選択肢CとDはAWS Configルールに依存していますが、Configは検出・報告に特化しており、WAFの適用や継続的な保護にはFirewall Managerが推奨されます。AWS公式ドキュメントでも、Firewall ManagerがWAFの組織横断的な管理に最適であると明記されています。