Q14 — AWS SAA-C03 第4章
第 14/105 問 | ← 第4章
Q209. ある企業がオンプレミスのデータセンターをAWSに移行しようとしています。同社のコンプライアンス要件によると、ap-northeast-3 リージョンのみを使用できます。また、管理者はVPCをインターネットに接続することを許可されていません。これらの要件を満たすソリューションはどれですか?(2つ選択)
- A. AWS Control Tower を使用してデータ所在性ガードレールを実装し、インターネットアクセスを拒否するとともに、ap-northeast-3 を除くすべてのAWSリージョンへのアクセスを拒否します。 ✓
- B. AWS WAF のルールを使用してインターネットアクセスを防止します。また、AWSアカウント設定で ap-northeast-3 を除くすべてのAWSリージョンへのアクセスを拒否します。
- C. AWS Organizations を使用してサービスコントロールポリシー(SCP)を設定し、VPCによるインターネットアクセスを防止します。また、ap-northeast-3 を除くすべてのAWSリージョンへのアクセスを拒否します。 ✓
- D. 各VPCのネットワークACLにアウトバウンドルールを作成し、0.0.0.0/0 からのすべてのトラフィックを拒否します。さらに、各ユーザーに対して、ap-northeast-3 以外のAWSリージョンの使用を禁止するIAMポリシーを作成します。
- E. AWS Config を使用してマネージドルールを有効化し、インターネットゲートウェイの検出・アラート通知および ap-northeast-3 外への新規リソース展開の検出・アラート通知を行います。
正解: A. AWS Control Tower を使用してデータ所在性ガードレールを実装し、インターネットアクセスを拒否するとともに、ap-northeast-3 を除くすべてのAWSリージョンへのアクセスを拒否します。, C. AWS Organizations を使用してサービスコントロールポリシー(SCP)を設定し、VPCによるインターネットアクセスを防止します。また、ap-northeast-3 を除くすべてのAWSリージョンへのアクセスを拒否します。
解説
オンプレミスのデータセンターを ap-northeast-3 リージョンにAWSへ移行し、VPCのインターネット接続を禁止するコンプライアンス要件を満たすには、AWS Control Tower を用いてデータ所在性ガードレールを実装し、インターネットアクセスおよび ap-northeast-3 以外のすべてのAWSリージョンへのアクセスを拒否する方法と、AWS Organizations を用いてサービスコントロールポリシー(SCP)を設定し、VPCのインターネットアクセスおよび ap-northeast-3 以外のAWSリージョンへのアクセスを防止する方法が適しています。したがって、正解はオプション A および C です。 オプション B では、AWS WAF を用いたインターネットアクセス防止とアカウント設定によるリージョン制限を提案していますが、WAF は主にWebアプリケーション向けのトラフィックフィルタリングに使用され、VPCのインターネット接続制御やリージョンレベルのアクセス制御には不適切であり、コンプライアンス要件を確実に満たす手段とはなりません。 オプション D では、ネットワークACLのアウトバウンドルールおよび個別のIAMポリシーによる制御を提案していますが、これは手動での設定・管理が煩雑であり、AWS Control Tower や AWS Organizations を用いたSCPによる一元的かつ自動化されたガバナンスに比べて、運用負荷が高く、信頼性も劣ります。 オプション E では、AWS Config のマネージドルールを用いて非準拠状態の検出・通知を行うものですが、これは監視・アラート機能にとどまり、実際のコンプライアンス要件(インターネット接続禁止、リージョン制限)を強制的に適用するメカニズムではありません。