Q37 — AWS SAA-C03 第5章
第 37/65 問 | ← 第5章
Q337. ある企業は、従業員に対して機密性および高感度のファイルへの安全なアクセスを提供する必要があります。企業は、これらのファイルが承認されたユーザーのみによってアクセス可能であることを保証したいと考えています。また、ファイルは従業員の端末に安全にダウンロードされる必要があります。現在、ファイルはオンプレミスのWindowsファイルサーバー上に保存されています。しかし、リモート利用の増加により、このファイルサーバーの容量が逼迫しています。 これらの要件を満たすソリューションはどれですか?
- A. ファイルサーバーをパブリックサブネット内のAmazon EC2インスタンスに移行し、セキュリティグループを設定して、従業員のIPアドレスからのみ着信トラフィックを許可する。
- B. ファイルをAmazon FSx for Windows File Serverファイルシステムに移行し、オンプレミスのActive Directoryと統合します。さらにAWS Client VPNを設定します。 ✓
- C. ファイルをAmazon S3に移行し、プライベートVPCエンドポイントを作成します。ダウンロードを許可するために署名付きURLを作成します。
- D. ファイルをAmazon S3に移行し、パブリックVPCエンドポイントを作成します。従業員がAWS Single Sign-Onでサインインできるようにします。
正解: B. ファイルをAmazon FSx for Windows File Serverファイルシステムに移行し、オンプレミスのActive Directoryと統合します。さらにAWS Client VPNを設定します。
解説
Amazon FSx for Windows File Serverファイルシステムへのファイル移行と、オンプレミスのActive Directoryとの統合は、ファイルの安全かつスケーラブルな保存を実現するソリューションです。また、AWS Client VPNを設定することで、従業員が安全にリモートからファイルにアクセスできるようになります。このソリューションは、問題文で示されたすべての要件を満たします。 選択肢Aは、IPアドレスに基づくアクセス制御は不適切な認証方法であり(IPアドレスは偽装可能)、セキュリティ上のリスクがあるため推奨されません。 選択肢Cは、Amazon S3はネイティブでActive Directoryと統合できないため、要件に適合しません。また、署名付きURLは依然として中間者攻撃や不正アクセスのリスクを孕んでいます。 選択肢Dは、パブリックVPCエンドポイントを作成するとS3バケットがインターネット上の誰でもアクセス可能な状態になり、機密・高感度データの保護という観点から極めて不適切です。 正解は(B)です。なぜなら、元のファイルサーバーがオンプレミスであり、クラウドへデータをレプリケートする必要がある場合、Windows互換性を維持しつつセキュアなアクセスを提供できる唯一のAWSサービスがAmazon FSx for Windows File Serverだからです。さらに、情報が機密・高感度であるため、適切なユーザーのみが安全な方法でアクセスできる仕組みが不可欠です。