Uncategorized

#6

 

■問題文(編集せずにそのまま)

ある企業は、Amazon S3 バケットに保存されているデータに対して、大規模なバッチ処理ジョブを実行する必要があります。ジョブはシミュレーションを実行します。ジョブの結果は急を要さず、処理は中断に耐えることができます。
データが S3 バケットに保存されている場合、各ジョブは 15 ~ 20 GB のデータを処理する必要があります。同社は、ジョブからの出力を別の Amazon S3 バケットに保存し、さらに分析を行います。
これらの要件を最もコスト効率よく満たすソリューションを選択してください。

■選択肢(編集せずにそのまま)

A. サーバーレスデータパイプラインを作成します。オーケストレーションに AWS Step Functions を使用します。プロビジョニングされた容量を持つ AWS Lambda 関数を使用してデータを処理します。

B. Amazon EC2 スポットインスタンスを含む AWS Batch コンピューティング環境を作成します。SPOT_CAPACITY_OPTIMIZED 配分戦略を指定します。

C. Amazon EC2 オンデマンドインスタンスとスポットインスタンスを含む AWS Batch コンピューティング環境を作成します。スポットインスタンスに SPOT_CAPACITY_OPTIMIZED 配分戦略を指定します。

D. Amazon Elastic Kubernetes Service (Amazon EKS) を使用して処理ジョブを実行します。Amazon EC2 オンデマンドインスタンスとスポットインスタンスの組み合わせを含むマネージド型ノードグループを使用します。

■問題文の要件の概要

  • データはS3にあり、1ジョブあたり15〜20GBを処理。
  • ジョブはシミュレーションで、中断に耐えられる(=スポット利用可)。
  • 出力もS3へ保存。
  • 最優先は「コスト効率」。
  • 一時的なバッチ処理であり、即時性は不要。

■正解の選択肢と解説

正解:B. Amazon EC2 スポットインスタンスを含む AWS Batch コンピューティング環境を作成します。SPOT_CAPACITY_OPTIMIZED 配分戦略を指定します。

解説:

  • AWS Batch は、S3データを使った大規模なバッチ処理に最適。
  • スポットインスタンス は中断に耐えられるワークロードに最適で、コスト削減に有効。
  • SPOT_CAPACITY_OPTIMIZED 戦略は中断率が低いインスタンスプールを選び、安定性を確保。
  • オーケストレーションやスケーリングもAWS Batchが自動で行うため、運用負荷も低い。

■不正解の選択肢の理由

A. Lambda + Step Functions

  • Lambda は 最大15分の実行時間制限があり、15〜20GBのバッチ処理には不向き。
  • 処理時間が長い、かつデータ量が多いため、コストやスロットリングのリスクが高くなる。

C. オンデマンド + スポットの混合 Batch

  • オンデマンドを混ぜると、スポット単独構成よりコストが高くなる。中断を許容できるなら、コスト面からスポット専用が有利。

D. Amazon EKS

  • EKS はバッチ処理にはオーバーエンジニアリング。セットアップと運用が複雑で、コスト効率が悪い。
  • 特に単発ジョブで繰り返しが少ないなら、Batchの方が合理的。

■SAP試験で押さえておくべきポイント

  • AWS Batch + Spot + SPOT_CAPACITY_OPTIMIZED は、コスト最適化 + 安定性の両立が可能な構成。
  • 中断に耐えられる処理 = スポットインスタンス の有力候補。
  • Lambda は小〜中規模の処理向きで、データ量が大きい処理には不向き
  • EKSなどの複雑なサービスは必要なときだけ選定。要件がシンプルな場合はよりマネージドなサービスを優先。
  • 配分戦略(BEST_FIT, SPOT_CAPACITY_OPTIMIZED など)はBatch設計の鍵

必要に応じて、さらに関連トピック(配分戦略の詳細やAWS Batch構成の設計パターン)も解説できますので、お気軽にどうぞ。次の問題もお送りください。

以下は、問題2のHTMLデータを基にした整理・解説です。

■問題文(編集せずにそのまま)

ある企業は、Application Load Balancer (ALB) の背後にある Auto Scaling グループで、複数の Amazon EC2 インスタンスを使用するアプリケーションをホストしています。EC2 インスタンスの初期起動時に、EC2 インスタンスはユーザーデータスクリプトを実行して、Amazon S3 バケットからアプリケーションの重要なコンテンツをダウンロードします。

EC2 インスタンスは正常に起動しています。しかし、一定時間が経過すると、EC2 インスタンスが終了し、次のエラーメッセージが表示されます。「An instance was taken out of service in response to an ELB system health check failure. (ELB システムのヘルスチェックに失敗したため、インスタンスがサービス停止になりました。)」 EC2 インスタンスは、Auto Scaling イベントによって無限ループで起動と終了を繰り返しています。

デプロイに対する最近の唯一の変更は、同社が S3 バケットに大量の重要なコンテンツを追加したことです。同社は、本番環境でユーザーデータのスクリプトを変更したくありません。

本番環境で正常にデプロイできる最適な方法を選択してください。

■選択肢(編集せずにそのまま)

A. EC2 インスタンスのサイズを大きくします。
B. ALB のヘルスチェックのタイムアウトを増やします。
C. ALB のヘルスチェックパスを変更します。
D. Auto Scaling グループのヘルスチェックの猶予期間を増やします。

■問題文の要件の概要

  • EC2起動時にS3から大量のデータを取得する必要がある。
  • インスタンスは正常に起動しているが、ALBのヘルスチェックに失敗してAuto Scalingにより終了 → 無限ループ状態。
  • ユーザーデータの変更は不可
  • 解決すべきは「初期処理が終わるまで ALB のヘルスチェック失敗を防ぐ」こと。

■正解の選択肢と解説

正解:D. Auto Scaling グループのヘルスチェックの猶予期間を増やします。

解説:

  • Auto Scaling の「Health Check Grace Period(猶予期間)」は、インスタンス起動後にヘルスチェックを始めるまでの待機時間。
  • 起動直後にS3から大量のデータを取得している場合、その処理が完了する前にALBヘルスチェックでNG判定されてしまう。
  • 猶予期間を延ばすことで、ユーザーデータスクリプトが完了し、正常応答できるようになるまで待てる
  • ユーザーデータやALB設定を変更せずに対応できるため、今回の要件に合致する。

■不正解の選択肢の理由

A. EC2 インスタンスのサイズを大きくする

  • 一時的な処理時間が問題であり、サイズ変更は根本解決にならない。
  • I/O速度が改善する保証もなく、ユーザーデータ完了のタイミングは変わらない可能性が高い。

B. ALB のヘルスチェックのタイムアウトを増やす

  • タイムアウトを長くしても、いつからヘルスチェックを開始するかはAuto Scalingに依存。
  • 猶予期間が短ければ、結局処理中に失敗扱いされてしまう。

C. ALB のヘルスチェックパスを変更する

  • 起動処理中にアプリが未起動であれば、どんなパスを指定しても「失敗」と判定されてしまう。
  • パス変更は意味がない(起動が遅れてるのが本質)。

■SAP試験で押さえておくべきポイント

  • Auto ScalingのHealth Check Grace Period は、インスタンス起動時の初期処理時間を考慮するために重要。
  • ALBのヘルスチェックとASGの挙動は分けて理解する必要がある(ALBが失敗を返しても、ASGがそれをいつ評価するかは猶予期間次第)。
  • 初期化に時間がかかるケース(例:S3ダウンロード)では猶予期間を調整することが推奨される
  • インスタンスが「無限ループ的に起動と終了を繰り返す」場合は、ASGとALBのヘルスチェック設定を必ず確認。

次の問題もお送りいただければ、引き続き解説いたします。

以下は、問題3のHTMLデータを基にした整理・解説です。

■問題文(編集せずにそのまま)

ある企業は、AWS CloudFormation を使用して、AWS メンバーアカウントに新しいインフラストラクチャをすべて作成しました。リソースはほとんど変更されず、予想される負荷に対して適切なサイズが設定されています。毎月の AWS の請求額は一定です。

開発者がテスト用に新しいリソースを作成し、テストの完了時にリソースを削除するのを忘れることがあります。これらのテストのほとんどは、リソースが不要になるまで数日間続きます。

同社は、未使用のリソースを見つけるプロセスを自動化したいと考えています。ソリューションアーキテクトは、AWS の請求額のコストが増加しているかどうかを判断するソリューションを設計する必要があります。このソリューションは、コスト増加の原因となるリソースの特定を支援し、会社の運用チームに自動的に通知する必要があります。

これらの要件を満たすソリューションを選択してください。

■選択肢(編集せずにそのまま)

A. 請求アラートを有効にします。AWS Cost Explorer を使用して、過去 1 ヶ月のコストを決定します。見積もり料金合計の Amazon CloudWatch アラームを作成します。Cost Explorer が決定したコストよりも高いコストしきい値を指定します。アラームしきい値を超えた場合に、運用チームに警告する通知を追加します。

B. 請求アラートを有効にします。AWS Cost Explorer を使用して、過去 3 ヶ月の平均月額コストを決定します。見積もり料金合計の Amazon CloudWatch アラームを作成します。Cost Explorer が決定したコストよりも高いコストしきい値を指定します。アラームしきい値を超えた場合に、運用チームに警告する通知を追加します。

C. AWS Cost Anomaly Detection を使用して、Linked Account のモニタータイプを持つコストモニターを作成します。運用チームに毎日の AWS コストサマリーを送信するサブスクリプションを作成します。コスト差異のしきい値を指定します。

D. AWS コスト異常検出を使用して、モニタータイプが AWS サービスのコストモニターを作成します。毎日の AWS コストの概要を運用チームに送信するサブスクリプションを作成します。コスト差異のしきい値を指定します。

■問題文の要件の概要

  • 請求額は通常一定、だが突発的に増えることがある。
  • 開発者が削除し忘れた一時的なリソースが原因で、コストが増えるケースがある。
  • コストの急増を自動的に検出し、原因となるリソースを特定して運用チームに通知したい。
  • 自動化・異常検出・詳細通知が求められている。

■正解の選択肢と解説

正解:D. AWS コスト異常検出(Cost Anomaly Detection)を使用して、モニタータイプが AWS サービスのコストモニターを作成します。

解説:

  • Cost Anomaly Detection は、MLベースで異常な支出パターンをリアルタイムに検出。
  • 「AWS サービス」モニタータイプを選ぶことで、サービスごとの粒度でコストの異常増加を識別できる。
  • メールまたはSNS通知でチームにリアルタイム通知も可能。
  • テストリソースなどの突発的な支出に気付きやすく、未削除リソースの早期発見につながる。

■不正解の選択肢の理由

A. 請求アラート + 過去1ヶ月の基準でしきい値設定

  • 単なる静的なしきい値では、異常の原因の特定ができない
  • 過去データとの比較やリソース単位の内訳が取れず、反応も遅い。

B. 過去3ヶ月平均ベースのCloudWatchアラーム

  • Aと同様、しきい値超過検知のみで自動で異常原因を調べられない
  • コストの傾向変動には対応しづらく、MLによる分析がない。

C. Linked Account モニタータイプの Cost Anomaly Detection

  • 複数アカウントの集計的な監視には適しているが、サービスごとのリソース異常を見つけるには不十分
  • リソース単位でのコスト分析が必要なこのケースでは不適。

■SAP試験で押さえておくべきポイント

  • AWS Cost Anomaly Detection は、コスト異常を検出する最も強力かつ最新のサービス。
  • Linked Account」は集計向き、「AWS サービス」は個別検知向き。要件に応じて使い分ける。
  • 静的なしきい値(CloudWatch)では、異常の「原因特定」や「リアルタイム性」に欠ける。
  • コスト監視では「自動異常検出(ML)+通知機構」の組み合わせが重要。
  • リソース単位のコスト最適化を試験では意識して選択する。

次の問題もお送りいただければ、引き続きフォーマットに従って解説いたします。

以下は、問題4のHTMLデータを基にした整理・解説です。

■問題文(編集せずにそのまま)

会社は、Amazon EC2 インスタンスを使用して、ウェブサイトを展開してブログサイトを運営しています。EC2 インスタンスは Application Load Balancer (ALB) の背後にあり、Auto Scaling グループで構成されます。ウェブアプリケーションは、すべてのブログコンテンツを Amazon EFS ボリュームに保存します。動画を投稿する機能をブログに追加したところ、以前よりトラフィックが 10 倍に増えました。ピーク時に、ユーザーがサイトにアクセスすると、読み込むまでに待たされることが多数発生します。

問題を解決する最もコスト効率が高くスケーラブルな方法を選択してください。

■選択肢(編集せずにそのまま)

A. Amazon EFS を再構成して、最大 I/O パフォーマンスモードを有効にします。
B. ブログサイトを更新して、ストレージにインスタンスストアボリュームを使用します。サイトのコンテンツは、起動時に Amazon S3 からインスタンスストアボリュームにコピーし、シャットダウン時に Amazon S3 にコピーします。
C. S3 をオリジンとした Amazon CloudFront ディストリビューションを設定します。動画データを Amazon EFS から Amazon S3 に移行します。
D. すべてのサイトのコンテンツ用に ALB をオリジンとした Amazon CloudFront ディストリビューションを設定します。

■問題文の要件の概要

  • EC2 + ALB + EFS の構成。
  • 動画投稿機能の追加でトラフィックが10倍増加
  • ピーク時に読み込み遅延(=スケーラビリティ不足)。
  • 解決策は スケーラブルでコスト効率が高い構成 にすること。

■正解の選択肢と解説

正解:C. S3 をオリジンとした Amazon CloudFront ディストリビューションを設定し、動画データを EFS から S3 に移行する。

解説:

  • Amazon S3 は静的コンテンツ(例:動画ファイル)に最適なオブジェクトストレージ。
  • CloudFront はCDNとして、世界中のエッジロケーションからキャッシュ配信を行い、ユーザー体験を高速化。
  • この構成により、動画読み込みの遅延を解消しつつ、ALBやEC2、EFSへの負荷も軽減できる。
  • 高トラフィックに対しても自動スケールされ、運用負荷とコストを大きく下げる

■不正解の選択肢の理由

A. EFS 最大 I/O パフォーマンスモードに変更する

  • 最大 I/O モードは並列処理には有効だが、EFS自体はCDNではなくトラフィック増にスケール限界あり。
  • スループットの強化は限定的であり、キャッシュや分散の効果が得られない

B. インスタンスストアにS3からデータを都度コピーする構成

  • インスタンスストアは一時ストレージで永続性がない
  • インスタンス再起動で動画データが消える危険あり。運用も複雑化、本番構成に不向き

D. ALBをCloudFrontのオリジンに設定する

  • CloudFrontによるキャッシュ効果が限定的(ALBは動的リクエストに向くため)。
  • 動画のような静的コンテンツはS3 + CloudFrontの組み合わせが最適。ALBオリジンは高コスト。

■SAP試験で押さえておくべきポイント

  • 動画・画像などの静的コンテンツ配信には「S3 + CloudFront」が最適解
  • 動的リクエストはALB、静的リクエストはCDNにオフロードすべき。
  • EFSは共有ファイルシステムであり、読み込み性能には限界がある(CDNではない)。
  • コスト効率 × 高スケーラビリティという文脈では「CDNの活用」が重要キーワード。
  • インスタンスストアや最大I/Oなどの設定変更では限界があり、アーキテクチャの見直しが求められる場面を見極める。

次の問題があれば、引き続き対応いたします。SAPの試験ではこのようにコスト効率+スケーラビリティ+設計判断を問う問題が非常に多く出題されます。

以下は、問題5のHTMLデータに基づいた整理・解説です。

■問題文(編集せずにそのまま)

ある企業が、世界中のお客様にサービスを提供する静的コンテンツ配信プラットフォームを運営しています。お客様は、自分の AWS アカウントからコンテンツを消費します。

同社は、Amazon S3 バケットからコンテンツを提供します。同社は、S3 ファイルゲートウェイを使用して、オンプレミス環境から S3 バケットにコンテンツをアップロードします。

同社は、お客様に地理的に最も近い AWS リージョンからコンテンツを提供することで、プラットフォームのパフォーマンスと信頼性を向上させたいと考えています。同社は、オンプレミスのデータを、最小限のレイテンシーで、パブリックインターネットに公開することなく、Amazon S3 にルーティングする必要があります。

これらの要件を満たし、運用オーバーヘッドが最も少ない手順の組み合わせを選択してください。(2 つ選択)

■選択肢(編集せずにそのまま)

A. S3 マルチリージョンアクセスポイントを実装します。
B. S3 クロスリージョンレプリケーション (CRR) を使用して、異なるリージョンにコンテンツをコピーします。
C. リージョンへのクライアントのルーティングを追跡する AWS Lambda 関数を作成します。
D. AWS Site-to-Site VPN 接続を使用して、マルチリージョンアクセスポイントに接続します。
E. AWS PrivateLink と AWS Direct Connect を使用して、マルチリージョンアクセスポイントに接続します。

■問題文の要件の概要

  • S3 を使った静的コンテンツ配信(グローバル向け)。
  • 低レイテンシーで、地理的に最も近いリージョンからの提供を実現したい。
  • パブリックインターネット非経由での S3へのアップロード
  • 運用オーバーヘッドが少ない構成を望んでいる。

■正解の選択肢と解説

A. S3 マルチリージョンアクセスポイントを実装します。

  • S3 Multi-Region Access Points により、グローバルに複数リージョンへまたがったS3バケットから最適なリージョンを自動選択。
  • AWS Global Acceleratorを通じて、クライアントに最も近いS3バケットへルーティング
  • 運用負荷が少なく、可用性・パフォーマンスが高い。

E. AWS PrivateLink と AWS Direct Connect を使用して、マルチリージョンアクセスポイントに接続します。

  • オンプレミス→S3へのアップロードをパブリックインターネット非経由で実現
  • Direct Connectは専用回線、PrivateLinkはプライベート接続を可能にし、安全で低レイテンシーな転送を実現。
  • マルチリージョンアクセスポイントにもアクセス可能。

■不正解の選択肢の理由

B. S3 クロスリージョンレプリケーション (CRR)

  • CRRはデータの冗長性やバックアップ用途には有効。
  • しかし、クライアントの地理的ルーティング最適化には対応していない
  • 加えて、バケット単位での設定が必要で、運用負荷も増加。

C. Lambda関数でルーティング制御

  • Lambdaでルーティング制御を自作するのは非効率かつ非現実的
  • AWS Global AcceleratorやS3 Multi-Region Access Pointsのようなマネージドな地理ルーティングに比べて複雑でコストも高い。

D. Site-to-Site VPN

  • VPNはバックアップや小規模ネットワークには適するが、スループットやレイテンシーがDirect Connectに劣る
  • 高可用性・高性能な構成としてはふさわしくない。

■SAP試験で押さえておくべきポイント

  • S3 Multi-Region Access Points + Global Acceleratorは、地理ルーティング + 高可用性 + 運用簡素化の構成として非常に強力。
  • PrivateLink + Direct Connectセキュアな非公開ルートを確保
  • CRRは「レプリケーション」=可用性・バックアップ向けであり、「配信最適化」には別機能が必要。
  • Lambdaでルーティング処理を手作りするのは非効率。マネージドサービス優先が設計判断の基本。

次の問題も引き続きお送りいただければ、同様の形式で対応します。SAP試験では「設計選択の理由を明確に説明できること」が得点につながります。

以下は、問題6の内容に基づいた整理・解説です。

■問題文(編集せずにそのまま)

あるソフトウェア開発会社には、リモートで働く複数のエンジニアがいます。同社は、Amazon EC2 インスタンスで Active Directory Domain Services (AD DS) を実行しています。同社のセキュリティポリシーでは、VPC にデプロイされる非公開の内部サービスはすべて、VPN 経由でアクセスする必要があります。VPN にアクセスするには、多要素認証 (MFA) を使用する必要があります。

これらの要件を満たす最適な方法を選択してください。

■選択肢(編集せずにそのまま)

A. AWS Site-to-Site VPN 接続を作成します。VPN と AD DS の統合を構成します。MFA サポートを有効にした Amazon WorkSpaces クライアントを使用して VPN 接続を確立します。
B. AWS Client VPN エンドポイントを作成します。AD DS と統合するための AD Connector ディレクトリを作成します。AD Connector に対して MFA を有効にします。AWS Client VPN を使用して VPN 接続を確立します。
C. AWS VPN CloudHub を使用して、複数の AWS Site-to-Site VPN 接続を作成します。AWS VPN CloudHub と AD DS の統合を構成します。AWS Copilot を使用して VPN 接続を確立します。
D. Amazon WorkLink エンドポイントを作成します。Amazon WorkLink と AD DS 間の統合を構成します。Amazon WorkLink で MFA を有効にします。AWS Client VPN を使用して VPN 接続を確立します。

■問題文の要件の概要

  • リモートエンジニアがアクセスする VPN構成 の設計が問われている。
  • AD DS による認証が前提。
  • MFA(多要素認証)対応が必須
  • VPC内の非公開サービスにアクセスする構成。

■正解の選択肢と解説

B. AWS Client VPN + AD Connector + MFA

  • Client VPN:AWSが提供するマネージドなVPNクライアントサービスで、ユーザー単位の接続が可能。
  • AD Connector:オンプレミスのActive Directoryと連携するための中継サービス。
  • MFAの有効化:AD ConnectorにMFAを設定可能で、セキュリティ要件に対応。
  • 効果的な認証連携とセキュアなアクセスを両立できるため、最も要件に合致。

■不正解の選択肢の理由

A. Site-to-Site VPN + WorkSpaces クライアント

  • Site-to-Site VPNはサイト間接続(例:本社〜AWS間)を想定した構成で、エンジニアの個別接続用途には不向き
  • WorkSpacesクライアントは仮想デスクトップ用であり、VPNクライアントの代替ではない
  • MFA連携の主導制御ができないため、セキュリティポリシーに適合しない。

C. AWS VPN CloudHub + Copilot

  • VPN CloudHub複数のオンプレ拠点をつなぐ拠点間ネットワークソリューション
  • エンドユーザーのリモートアクセス目的には不適切
  • AWS CopilotはECSデプロイ用のツールで、VPN接続には無関係。

D. Amazon WorkLink + Client VPN

  • WorkLinkモバイルブラウザベースの社内アプリ閲覧用サービスであり、VPNではない。
  • AD DSとの直接的な統合はサポートされておらず、要件不適合

■SAP試験で押さえておくべきポイント

  • Client VPNは、リモートユーザー向けVPNソリューションとしてSAP試験でも頻出。
  • オンプレADと連携する場合は AD Connector + MFA対応 をセットで覚える。
  • Site-to-Site VPNClient VPNの使い分けを理解しておく(前者は拠点間、後者はユーザー単位)。
  • WorkSpaces や WorkLink は用途が異なる(仮想デスクトップやモバイルアプリ向け)。

次の問題もお送りいただければ、同様の形式で対応します。引き続き頑張っていきましょう。SAP試験では「目的に合ったマネージドサービスの選択」が非常に重要です。

以下は、問題7の内容に基づいた整理・解説です。

■問題文(編集せずにそのまま)

ある企業は、AWS Organizations を使用して AWS アカウントを管理しています。ソリューションアーキテクトは、管理者ロールにのみ IAM アクションの使用を許可するソリューションを設計する必要があります。しかし、ソリューションアーキテクトは、会社全体のすべての AWS アカウントにアクセスできるわけではありません。

運用上のオーバーヘッドが最も少なく、これらの要件を満たすソリューションを選択してください。

■選択肢(編集せずにそのまま)

A. すべての AWS アカウントに適用される SCP を作成し、管理者ロールにのみ IAM アクションを許可します。SCP をルート OU に適用します。
B. IAM アクションに関連するイベントごとに AWS Lambda 関数を呼び出すように AWS CloudTrail を設定します。アクションを呼び出したユーザーが管理者でない場合、アクションを拒否するように関数を構成します。
C. すべての AWS アカウントに適用される SCP を作成し、管理者ロールを持つユーザーを除くすべてのユーザーの IAM アクションを拒否します。SCP をルート OU に適用します。
D. IAM アクションを許可する IAM アクセス許可の境界を設定します。アクセス許可の境界をすべての AWS アカウントのすべての管理者ロールにアタッチします。

■問題文の要件の概要

  • IAMアクションを管理者ロールのみに制限する必要がある。
  • AWS Organizationsを使っているが、すべてのアカウントにアクセスできない
  • 運用の手間(オーバーヘッド)を最小限にしたい。

■正解の選択肢と解説

C. SCP で管理者ロール以外の IAM アクションを拒否し、ルートOUに適用

  • サービスコントロールポリシー (SCP) は、Organizations配下のすべてのアカウントに対して中央管理できる強力な制御手段。
  • SCPは**”Deny” ベースの制御**で、「管理者ロール以外のIAMアクションを拒否する」ことが可能。
  • ルートOUに適用することで、全アカウントに自動適用され、個別アクセス不要=運用効率が非常に高い。

■不正解の選択肢の理由

A. SCPで「管理者ロールにのみ許可」

  • SCPは明示的なAllowはできない(AllowポリシーはIAMで定義)。
  • SCPは「Deny(拒否)」または「許可しない範囲の制限」のため、この選択肢は構文的に不正確。

B. CloudTrail + Lambda でアクションを拒否

  • CloudTrailは事後監査用であり、リアルタイム制御ではない。
  • Lambda関数による制御は遅延や漏れのリスク管理の複雑化など、運用オーバーヘッドが大きすぎる。

D. IAMのアクセス許可境界で管理

  • **アクセス許可境界(Permission Boundary)**はIAMレベルの制御で、全アカウント一括適用が困難
  • アカウントにアクセスできない状況では設定不可能なため、非現実的。

■SAP試験で押さえておくべきポイント

  • **SCPは「制限ベースのコントロール」**で、Allowはできない → Denyベースで制御する
  • ルートOUに適用すると、組織内のすべてのアカウントに自動で反映できる。
  • CloudTrailやLambdaでのリアルタイムアクセス制御は非推奨(コスト・遅延・運用負荷)。
  • IAMアクセス許可境界は個別IAMリソース向けであり、組織全体の制御には不適。

次の問題も送っていただければ、同様に対応いたします。SAP試験では、IAM権限管理とOrganizationsの活用がよく問われるため、SCPの仕組みと使い方をしっかり整理しておくと有利です。

RELATED POST