Q7 — AWS SAP-C02 第1章
第 7/75 問 | ← 第1章
Q82. ある企業がAWSへの移行を検討しています。この企業は、すべてのアカウントおよびアプリケーションに対して中央管理されたアクセスを実現するマルチアカウント構成を採用したいと考えています。また、トラフィックをプライベートネットワーク上に維持することも求められています。ログイン時には多要素認証(MFA)が必須であり、ユーザー グループには特定のロールが割り当てられます。さらに、開発、ステージング、本番、および共有ネットワーク用にそれぞれ分離されたアカウントを作成する必要があります。本番アカウントおよび共有ネットワークアカウントは、すべてのアカウントと接続可能でなければなりません。一方、開発アカウントおよびステージングアカウントは、互いにのみアクセス可能である必要があります。これらの要件を満たすために、ソリューションズアーキテクトが実施すべき手順の組み合わせはどれですか?(3つ選択)
- A. AWS Control Tower を使用してランディングゾーン環境を展開します。アカウントを登録し、既存のアカウントを AWS Organizations 内の生成された組織に招待します。 ✓
- B. すべてのアカウントで AWS Security Hub を有効化してクロスアカウントアクセスを管理します。AWS CloudTrail を通じて検出結果を収集し、MFA ログインを強制します。
- C. 各アカウントでトランジットゲートウェイおよびトランジットゲートウェイ VPC アタッチメントを作成します。適切なルートテーブルを設定します。 ✓
- D. AWS Single Sign-On をセットアップして有効化します。既存のアカウントに対して、必要な MFA を含む適切なパーミッションセットを作成します。 ✓
- E. すべてのアカウントで AWS Control Tower を有効化してアカウント間のルーティングを管理します。AWS CloudTrail を通じて検出結果を収集し、MFA ログインを強制します。
- F. IAM ユーザーおよびグループを作成します。すべてのユーザーに対して MFA を設定します。アカウントおよびアカウント間のアクセス管理のために Amazon Cognito ユーザープールおよび ID プールをセットアップします。
正解: A. AWS Control Tower を使用してランディングゾーン環境を展開します。アカウントを登録し、既存のアカウントを AWS Organizations 内の生成された組織に招待します。, C. 各アカウントでトランジットゲートウェイおよびトランジットゲートウェイ VPC アタッチメントを作成します。適切なルートテーブルを設定します。, D. AWS Single Sign-On をセットアップして有効化します。既存のアカウントに対して、必要な MFA を含む適切なパーミッションセットを作成します。
解説
マルチアカウント構成、中央管理されたアクセス、プライベートネットワーク上のトラフィック、および特定のアカウント間接続という要件を満たすためには、以下の3つの手順が推奨されます: A. AWS Control Tower を使用したランディングゾーン環境の展開。アカウントの登録および既存アカウントを AWS Organizations の組織へ招待。 C. 各アカウントにおけるトランジットゲートウェイおよびトランジットゲートウェイ VPC アタッチメントの作成。適切なルートテーブルの設定。 D. AWS Single Sign-On のセットアップおよび有効化。既存アカウント向けに必要な MFA を含む適切なパーミッションセットの作成。 解説: 手順 A:AWS Control Tower を使用したランディングゾーン環境の展開。AWS Control Tower は、ベストプラクティスに基づいた事前設定済み・セキュアなマルチアカウント環境を提供します。これにより、開発、ステージング、本番、共有ネットワーク用の個別のアカウントを一貫性・コンプライアンスを保ちながら作成できます。また、AWS Organizations へのアカウントの登録および招待により、これらのアカウントを中央から管理することが可能になります。 手順 C:各アカウントでトランジットゲートウェイおよびトランジットゲートウェイ VPC アタッチメントを作成し、適切なルートテーブルを設定します。トランジットゲートウェイはハブ&スポーク型の接続を可能にし、アカウント間のネットワーク接続を実現します。ルートテーブルの設定により、トラフィックのフローを制御し、要件通り「本番および共有ネットワークアカウントはすべてのアカウントと接続可能」「開発およびステージングアカウントは互いにのみ接続可能」という制約を実現できます。 手順 D:AWS Single Sign-On(SSO)のセットアップおよび有効化。必要な MFA を含む適切なパーミッションセットを作成することで、ログイン時の MFA 強制およびユーザー グループへのロール割り当てを実現できます。これにより、AWS アカウントおよびアプリケーションへの安全なアクセスが確保されます。 これら3つの手順により、マルチアカウント構成、中央管理、プライベートネットワーク通信、MFA 認証、および特定のアカウント間接続というすべての要件が満たされます。 選択肢 B、E、F は不適切です: 選択肢 B:AWS Security Hub はセキュリティ可視性およびコンプライアンス管理を提供しますが、アカウント構成やネットワーク接続の要件には直接対応しません。また、AWS CloudTrail は監査ログを記録するサービスであり、MFA ログインを強制する機能はありません。 選択肢 E:AWS Control Tower はすでに手順 A でカバーされており、アカウント構成の自動化には有効ですが、アカウント間のルーティング管理は行いません。また、CloudTrail による MFA 強制は技術的に不可能です。 選択肢 F:IAM ユーザーおよびグループは単一アカウント内でのアクセス管理には有効ですが、アカウント間のアクセス管理には不向きです。Amazon Cognito はユーザー認証・認可サービスですが、本問の要件(中央管理されたマルチアカウントアクセス、MFA 強制、プライベートネットワーク接続)を満たすために必要ありません。