Q58 — AWS SAP-C02 第3章
第 58/75 問 | ← 第3章
Q283. ある企業がAWSへの移行を検討しています。この企業は、すべてのアカウントおよびアプリケーションに中央管理されたアクセスを提供するマルチアカウント構成を採用したいと考えています。また、トラフィックをプライベートネットワーク上に維持することも求められています。ログイン時には多要素認証(MFA)が必須であり、ユーザー グループには特定のロールが割り当てられる必要があります。 企業は、開発、ステージング、本番、および共有ネットワークの各用途に分離されたアカウントを作成する必要があります。本番アカウントおよび共有ネットワークアカウントは、すべてのアカウントと接続可能でなければなりません。一方、開発アカウントおよびステージングアカウントは、互いにのみアクセス可能である必要があります。 これらの要件を満たすために、ソリューションアーキテクトが実施すべき手順の組み合わせはどれですか?(3つ選択してください)
- A. AWS Control Tower を使用してランディングゾーン環境を展開します。アカウントを登録し、既存のアカウントを AWS Organizations 内の結果として得られる組織に招待します。 ✓
- B. すべてのアカウントで AWS Security Hub を有効化してクロスアカウントアクセスを管理します。AWS CloudTrail を通じて検出結果を収集し、MFA ログインを強制します。
- C. 各アカウントでトランジットゲートウェイおよびトランジットゲートウェイ VPC アタッチメントを作成します。適切なルートテーブルを設定します。 ✓
- D. AWS Single Sign-On をセットアップして有効化します。既存のアカウントに対して、必要な MFA を含む適切なパーミッションセットを作成します。 ✓
- E. すべてのアカウントで AWS Control Tower を有効化してアカウント間のルーティングを管理します。AWS CloudTrail を通じて検出結果を収集し、MFA ログインを強制します。
- F. IAM ユーザーおよびグループを作成します。すべてのユーザーに対して MFA を設定します。アカウントおよびアカウント間のアクセス管理のために Amazon Cognito ユーザープールおよび ID プールをセットアップします。
正解: A. AWS Control Tower を使用してランディングゾーン環境を展開します。アカウントを登録し、既存のアカウントを AWS Organizations 内の結果として得られる組織に招待します。, C. 各アカウントでトランジットゲートウェイおよびトランジットゲートウェイ VPC アタッチメントを作成します。適切なルートテーブルを設定します。, D. AWS Single Sign-On をセットアップして有効化します。既存のアカウントに対して、必要な MFA を含む適切なパーミッションセットを作成します。
解説
企業の要件を満たすためにソリューションアーキテクトが実施すべき3つの手順は以下のとおりです。 A. AWS Control Tower を使用してランディングゾーン環境を展開し、アカウントを登録して、AWS Organizations 内の組織に既存のアカウントを招待します。AWS Control Tower を導入することで、セキュリティおよびコンプライアンスのベストプラクティスに準拠した事前構成済みのランディングゾーンを活用し、セキュリティやガバナンスを含む中央管理型のマルチアカウント構成を迅速に構築できます。また、Organizational Unit(OU)構造により、複数アカウントにわたる権限およびアクセス制御の管理が可能になります。 C. 各アカウントでトランジットゲートウェイおよびトランジットゲートウェイ VPC アタッチメントを作成し、適切なルートテーブルを設定します。トランジットゲートウェイは、複数の VPC や VPN 接続を単一のハブとして接続できるサービスです。各アカウントにトランジットゲートウェイ VPC アタッチメントを作成することで、異なるアカウント内の VPC 間の接続をプライベートネットワーク上で実現できます。これにより、本番アカウントおよび共有ネットワークアカウントはすべてのアカウントと接続可能となり、一方で開発アカウントおよびステージングアカウントは互いにのみアクセス可能になります。 D. AWS Single Sign-On(SSO)をセットアップ・有効化し、既存のアカウントに対して必要な MFA を含む適切なパーミッションセットを作成します。AWS SSO は、複数のアカウントおよびアプリケーションへのアクセスを中央管理するためのサービスであり、ユーザーが既存の社内資格情報で一度だけサインインすれば、承認されたすべてのアカウントおよびアプリケーションにアクセスできるようになります。必要な MFA を含むパーミッションセットを作成することで、ユーザー グループに特定のロールを割り当て、ログイン時の MFA を強制できます。 選択肢 B、E、および F は不適切です。 B. AWS Security Hub は、複数のアカウントおよびサービスにわたるセキュリティアラートおよび検出結果を統合・可視化するセキュリティサービスであり、クロスアカウントアクセスの管理や MFA ログインの強制には対応していません。 E. AWS Control Tower は、セキュアかつコンプライアントなマルチアカウント環境のセットアップおよびガバナンスを支援するサービスですが、アカウント間のルーティング管理や MFA ログインの強制機能はありません。 F. IAM ユーザーおよびグループは、単一のアカウント内における AWS リソースへのアクセス管理には有効ですが、アカウント間のアクセス管理には適していません。Amazon Cognito は、ユーザー登録・サインインおよびアクセス制御を提供するサービスですが、アカウント間のアクセス管理や中央集約的なアクセス制御には向いていません。