Q71 — AWS SAP-C02 第2章
第 71/75 問 | ← 第2章
Q221. ある企業がアプリケーションをAWS上で実行するよう再アーキテクチャしています。同社のインフラストラクチャには複数のAmazon EC2インスタンスが含まれています。開発チームには異なるレベルのアクセス権限が必要です。また、同社は、すべてのWindows EC2インスタンスをAWS上のActive Directoryドメインに参加させることをポリシーとして定めたいと考えています。さらに、多要素認証(MFA)などの強化されたセキュリティプロセスを実装したいと考えています。可能な限りマネージドなAWSサービスを活用したいという要件もあります。 これらの要件を満たすソリューションはどれですか?
- A. AWS Directory Service for Microsoft Active Directory の実装を作成します。Amazon WorkSpaces を起動し、そのWorkSpaceに接続してドメインのセキュリティ設定作業を行います。 ✓
- B. AWS Directory Service for Microsoft Active Directory の実装を作成します。EC2インスタンスを起動し、そのEC2インスタンスに接続してドメインのセキュリティ設定作業を行います。
- C. AWS Directory Service Simple AD の実装を作成します。EC2インスタンスを起動し、そのEC2インスタンスに接続してドメインのセキュリティ設定作業を行います。
- D. AWS Directory Service Simple AD の実装を作成します。Amazon WorkSpaces を起動し、そのWorkSpaceに接続してドメインのセキュリティ設定作業を行います。
正解: A. AWS Directory Service for Microsoft Active Directory の実装を作成します。Amazon WorkSpaces を起動し、そのWorkSpaceに接続してドメインのセキュリティ設定作業を行います。
解説
選択肢Aでは、AWS Directory Service for Microsoft Active Directory の実装を作成し、ドメインのセキュリティ設定作業のためにAmazon WorkSpacesを起動するという提案です。このアプローチにより、開発チームは必要なさまざまなレベルのアクセス権限を獲得でき、マネージドなAWSサービスを活用できるだけでなく、インターネット接続があればどこからでもドメインのセキュリティ設定を実行できます。 選択肢Bでは、AWS Directory Service for Microsoft Active Directory の実装を作成し、EC2インスタンスを起動してドメインのセキュリティ設定作業を行うという提案です。しかし、この方法ではAmazon WorkSpacesが提供するモビリティや柔軟性が得られず、ユーザーは特定のデバイスや場所からEC2インスタンスに接続する必要があります。 選択肢Cでは、AWS Directory Service Simple AD の実装を作成し、EC2インスタンスを起動してドメインのセキュリティ設定作業を行うという提案です。Simple ADはMFAや複雑なAD信頼関係をサポートしないため、Managed AD(AWS Directory Service for Microsoft Active Directory)と比較してセキュリティ面で劣ります。 選択肢Dでは、AWS Directory Service Simple AD の実装を作成し、Amazon WorkSpacesを起動してドメインのセキュリティ設定作業を行うという提案です。選択肢Aと同様にAmazon WorkSpacesを活用していますが、Managed ADが持つフル機能(例:MFA対応、高度な信頼関係)は提供されません。 したがって、選択肢Aが最も適切なソリューションです。AWS Directory Service for Microsoft Active Directory の実装はMFAおよび複雑なAD信頼関係をサポートし、Amazon WorkSpacesを用いることで、開発チームは必要なアクセス権限レベルを確保しつつ、マネージドなAWSサービスを活用でき、インターネット接続のある場所であればどこからでもドメインのセキュリティ設定を実行できます。