Q75 — AWS SAP-C02 第3章

第 75/75 問 | ← 第3章

Q300. ある企業は、Amazon WorkSpacesとクライアント端末を組み合わせて、老朽化したデスクトップ端末を置き換えようとしています。従業員はこれらのデスクトップ端末を使用して、臨床試験データを扱うアプリケーションにアクセスします。企業のセキュリティポリシーでは、アプリケーションへのアクセスを、社内の支店オフィス所在地からのみ許可するよう制限することになっています。また、今後6か月以内に新たな支店を追加する予定です。これらの要件を、最も運用効率よく満たすソリューションはどれですか?

正解: A. 支店オフィスのパブリックIPアドレス一覧を含むIPアクセス制御グループルールを作成し、そのIPアクセス制御グループをWorkSpacesディレクトリに関連付けます。

解説

解説: 以前の回答における誤りについてお詫び申し上げます。要件を再評価した結果、最も運用効率よくこれらの要件を満たす正しいソリューションは以下の通りです。 A. 支店オフィスのパブリックIPアドレス一覧を含むIPアクセス制御グループルールを作成し、そのIPアクセス制御グループをWorkSpacesディレクトリに関連付けます。 このソリューションでは、企業の各支店オフィスに対応するパブリックIPアドレスの一覧を指定したIPアクセス制御グループルールを作成できます。このIPアクセス制御グループをWorkSpacesディレクトリに関連付けることで、支店オフィス内に所在するクライアント端末からのみアプリケーションへのアクセスを許可することが可能です。 選択肢B(AWS Firewall Manager を用いたWeb ACLおよびIPSETの活用)は、本シナリオには最も適切ではありません。AWS Firewall Manager はネットワークセキュリティの包括的な管理に優れていますが、WorkSpacesへのアクセスを支店所在地に基づいて制限するという特定の要件には、過剰かつ不適切なアプローチです。 選択肢C(ACMによる信頼されたデバイス証明書の発行)は、支店所在地に基づくアクセス制御には最適ではありません。ACMが発行するデバイス証明書は、主にデバイス認証の目的で使用され、IPベースのアクセス制御には向いていません。 選択肢D(Windows Firewallを設定したカスタムWorkSpacesイメージの作成)は、IPアクセス制御グループを利用する方法と比べて、柔軟性や集中管理性に劣ります。支店数が増加するにつれて、個々のWorkSpacesイメージごとにWindows Firewallの設定を管理するのは、運用負荷が高くなります。 したがって、最も運用効率が高く、要件を正しく満たすソリューションは: A. 支店オフィスのパブリックIPアドレス一覧を含むIPアクセス制御グループルールを作成し、そのIPアクセス制御グループをWorkSpacesディレクトリに関連付けます。