Q14 — AWS SAA-C03 第4章

第 14/105 問 | ← 第4章

Q209. ある企業がオンプレミスのデータセンターをAWSに移行しようとしています。同社のコンプライアンス要件によると、ap-northeast-3 リージョンのみを使用できます。また、管理者はVPCをインターネットに接続することを許可されていません。これらの要件を満たすソリューションはどれですか?(2つ選択)

正解: A. AWS Control Tower を使用してデータ所在性ガードレールを実装し、インターネットアクセスを拒否するとともに、ap-northeast-3 を除くすべてのAWSリージョンへのアクセスを拒否します。, C. AWS Organizations を使用してサービスコントロールポリシー(SCP)を設定し、VPCによるインターネットアクセスを防止します。また、ap-northeast-3 を除くすべてのAWSリージョンへのアクセスを拒否します。

解説

オンプレミスのデータセンターを ap-northeast-3 リージョンにAWSへ移行し、VPCのインターネット接続を禁止するコンプライアンス要件を満たすには、AWS Control Tower を用いてデータ所在性ガードレールを実装し、インターネットアクセスおよび ap-northeast-3 以外のすべてのAWSリージョンへのアクセスを拒否する方法と、AWS Organizations を用いてサービスコントロールポリシー(SCP)を設定し、VPCのインターネットアクセスおよび ap-northeast-3 以外のAWSリージョンへのアクセスを防止する方法が適しています。したがって、正解はオプション A および C です。 オプション B では、AWS WAF を用いたインターネットアクセス防止とアカウント設定によるリージョン制限を提案していますが、WAF は主にWebアプリケーション向けのトラフィックフィルタリングに使用され、VPCのインターネット接続制御やリージョンレベルのアクセス制御には不適切であり、コンプライアンス要件を確実に満たす手段とはなりません。 オプション D では、ネットワークACLのアウトバウンドルールおよび個別のIAMポリシーによる制御を提案していますが、これは手動での設定・管理が煩雑であり、AWS Control Tower や AWS Organizations を用いたSCPによる一元的かつ自動化されたガバナンスに比べて、運用負荷が高く、信頼性も劣ります。 オプション E では、AWS Config のマネージドルールを用いて非準拠状態の検出・通知を行うものですが、これは監視・アラート機能にとどまり、実際のコンプライアンス要件(インターネット接続禁止、リージョン制限)を強制的に適用するメカニズムではありません。