Q85 — AWS DOP-C02 第1章

第 85/100 問 | ← 第1章

ある企業がApplication Load Balancer(ALB)をアプリケーションアーキテクチャの一部として使用しています。同社はAWS Organizationsの組織内にあるAWSアカウントでALBを所有しています。同社は組織内の各AWSアカウントでAWS Configを構成済みです。 同社は、一連の共通ルールを含むAWS WAF Web ACLを対象のALBに適用する必要があります。これには今後作成されるALBも含まれます。各AWSアカウントの管理者は、セキュリティチームが提供する共通ルールに加えて、自身のAWS WAFルールをカスタマイズしたいと考えています。

正解: A. 組織に対してAWS Firewall Managerを構成します。Firewall Manager管理者アカウントでAWS WAFポリシーを作成します。自動修復を有効化し、Web ACLを定義します。ポリシー範囲を組織内のすべてのALBに適用するように構成します。

解説

AWS Firewall Managerは、組織全体のWAFポリシーを集中管理するためのマネージドサービスであり、新規ALBの自動検出・Web ACLの自動適用をサポートします。また、Firewall Managerは、共通ルール(マネージドポリシー)と各アカウントのカスタムルール(オーバーライド)を組み合わせる機能を提供します。選択肢AはFirewall Managerの標準的な利用方法であり、自動修復と全ALBへの適用をシンプルに実現します。選択肢BのAWS RAMはWAF Web ACLの共有をサポートしておらず、技術的に不適切です。選択肢CとDはAWS Configルールに依存していますが、Configは検出・報告に特化しており、WAFの適用や継続的な保護にはFirewall Managerが推奨されます。AWS公式ドキュメントでも、Firewall ManagerがWAFの組織横断的な管理に最適であると明記されています。