以下は SAP試験・問題1 の整理・解説です。
■ 問題文(そのまま出力)
ある企業が、アプリケーションアカウントの Amazon EC2 インスタンスにパッチを適用する方法を変更しようとしています。同社は現在、アプリケーションアカウント内の VPC で NAT ゲートウェイを使用して、インターネット経由でインスタンスにパッチを適用しています。
コアアカウントの専用プライベート VPC には、パッチソースリポジトリとして EC2 インスタンスが設定されています。AWS Systems Manager Patch Manager とコアアカウントのパッチソースリポジトリを使用して、アプリケーションアカウントの EC2 インスタンスにパッチを適用したいと考えています。アプリケーションアカウント内のすべての EC2 インスタンスがインターネットにアクセスできないようにする必要があります。
アプリケーションアカウントの EC2 インスタンスは、アプリケーションデータが保存されている Amazon S3 にアクセスする必要があります。これらの EC2 インスタンスは、Systems Manager と、コアアカウントのプライベート VPC 内のパッチソースリポジトリに接続する必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(正解は伏せたまま出力)
A.
ポート 80 のアウトバウンドトラフィックをブロックするネットワーク ACL を作成します。ネットワーク ACL をアプリケーションアカウントのすべてのサブネットに関連付けます。アプリケーションアカウントとコアアカウントに、カスタム VPN サーバーを実行する EC2 インスタンスを 1 つデプロイします。プライベート VPC にアクセスするための VPN トンネルを作成します。アプリケーションアカウントのルートテーブルを更新します。
B.
Systems Manager と Amazon S3 用にプライベート VIF を作成します。アプリケーションアカウントの VPC から NAT ゲートウェイを削除します。コアアカウントのパッチソースリポジトリ EC2 インスタンスにアクセスする Transit Gateway を作成します。コアアカウントのルートテーブルを更新します。
C.
Systems Manager と Amazon S3 の VPC エンドポイントを作成します。アプリケーションアカウントの VPC から NAT ゲートウェイを削除します。コアアカウントのパッチソースリポジトリ EC2 インスタンスにアクセスするための VPC ピアリング接続を作成します。両方のアカウントのルートテーブルを更新します。
D.
ポート 80 のインバウンドトラフィックをブロックするネットワーク ACL を作成します。ネットワーク ACL をアプリケーションアカウントのすべてのサブネットに関連付けます。コアアカウントのパッチソースリポジトリ EC2 インスタンスにアクセスする Transit Gateway を作成します。両方のアカウントのルートテーブルを更新します。
■ 問題文の要件の概要
- アプリケーションアカウントの EC2 から インターネットアクセスを遮断(NAT ゲートウェイを除去)。
- それでも Amazon S3 および Systems Manager にはアクセスする必要がある。
- また、コアアカウントのプライベートなパッチリポジトリEC2 へもアクセスする必要がある。
■ 正解の選択肢とその解説
✅ C. VPC エンドポイント+VPC ピアリングの構成
- 解説:
- VPCエンドポイント(Interface/S3 Gateway) を使って、アプリケーションアカウントの EC2 が Systems Manager と Amazon S3 にアクセス。
- NAT Gateway を削除して、インターネットアクセスを遮断。
- VPCピアリング によってコアアカウントの VPC にあるパッチソースの EC2 にアクセス。
- ルートテーブル更新で双方向通信を許可。
■ 不正解の選択肢の理由
❌ A. VPN トンネル + ポート 80 ブロック
- ポート 80 だけブロックしても他ポートでの通信を防げず、完全なインターネット遮断ができない。
- VPN 構成は複雑で、管理コストが高く現実的でない。
❌ B. プライベート VIF + Transit Gateway
- プライベート VIF(DX) は Direct Connect のための構成で、Systems Manager や S3 への直接的なソリューションではない。
- 問題文に Direct Connect の記述がなく、VIF は前提外。
❌ D. インバウンドポート制限 + Transit Gateway
- ポート 80 のインバウンド制限ではアウトバウンド通信は許可されるため、インターネット遮断の要件を満たさない。
- Transit Gateway の使用は可能だが、他のアクセス要件(S3, SSM)への考慮がない。
■ SAP試験で押さえておくべきポイント
| 観点 | 解説 |
|---|---|
| ✅ VPC エンドポイント | NAT ゲートウェイを使わずに AWS サービスへアクセスさせるためのベストプラクティス(SSM・S3など) |
| ✅ VPC ピアリング or TGW | アカウント間でプライベートな接続を確立したい場合の手段(この問題ではピアリングで十分) |
| ✅ インターネット遮断要件の満たし方 | NAT削除+VPCエンドポイントで代替ルートを確保 |
| ❌ ネットワークACLでは限界がある | 完全なインターネット遮断の制御には不向き |
この問題は、セキュリティと通信要件を両立するマルチアカウント設計を問う良問です。VPCエンドポイントとピアリングの適切な組み合わせが試験に頻出するため、構成パターンとして定着させておくと安心です。
以下は SAP試験・問題2 の整理と解説です。
■ 問題文(そのまま出力)
ある企業が、アプリケーションをオンプレミスから AWS クラウドに移行しようと計画しています。同社は、アプリケーションの基盤となるデータストレージを AWS に移行を開始します。アプリケーションデータはオンプレミスの共有ファイルシステムに保存されており、アプリケーションサーバーは SMB を介して共有ファイルシステムに接続しています。
ソリューションアーキテクトは、共有ストレージに Amazon S3 バケットを使用するソリューションを実装する必要があります。アプリケーションが完全に移行され、Amazon S3 のネイティブ API を使用するようにコードが書き換えられるまで、アプリケーションは SMB 経由でデータにアクセスできる必要があります。ソリューションアーキテクトは、オンプレミスのアプリケーションが引き続きデータにアクセスできるようにしながら、アプリケーションデータを AWS の新しい場所に移行する必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(正解は伏せたまま)
A.
新しい Amazon FSx for Windows File Server ファイルシステムを作成します。オンプレミスのファイル共有のための 1 つの場所と新しい Amazon FSx ファイルシステムのための 1 つの場所で AWS DataSync を構成します。新しい DataSync タスクを作成して、オンプレミスのファイル共有の場所から Amazon FSx ファイルシステムにデータをコピーします。
B.
アプリケーション用に S3 バケットを作成します。オンプレミスのストレージから S3 バケットにデータをコピーします。
C.
AWS Application Migration Service (AWS MGN) VM をオンプレミス環境にデプロイします。AWS MGN を使用して、ファイルストレージサーバーをオンプレミスから Amazon EC2 インスタンスに移行します。
D.
アプリケーション用に S3 バケットを作成します。オンプレミスの VM に新しい AWS Storage Gateway ファイルゲートウェイをデプロイします。S3 バケットにデータを保存し、ファイルゲートウェイに関連付けられた新しいファイル共有を作成します。オンプレミスのストレージから新しいファイルゲートウェイエンドポイントにデータをコピーします。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ ストレージを S3 に移行する | データの最終保存先は Amazon S3 |
| ✅ 現在は SMB 経由でアクセスしている | SMB 経由のデータアクセスを継続したい |
| ✅ コードを書き換えるまでは SMB 利用が必要 | S3 API に移行するまでの間は互換性が必要 |
| ✅ オンプレから段階的にデータを移行する | 両環境間のブリッジが必要 |
■ 正解の選択肢とその解説
✅ D. AWS Storage Gateway ファイルゲートウェイを使用
- 解説:
- AWS Storage Gateway(File Gateway) は、オンプレミスの VM にデプロイされ、SMB/NFS を介してアクセス可能なローカルファイル共有を提供。
- 実際のデータは Amazon S3 に保存されるため、バックエンドは完全に S3 ベースになる。
- コードを書き換えて S3 API に切り替えるまでは、アプリケーションはそのまま SMB 接続を使用。
- 将来的な完全クラウド移行に向けたスムーズなステップ。
■ 不正解の選択肢の理由
❌ A. Amazon FSx + DataSync
- FSx for Windows File Server は SMB をサポートするが、最終保存先が Amazon S3 ではない。
- 移行の目的が「S3 に保存する」ことなので要件に適合しない。
❌ B. S3 バケットに直接コピー
- Amazon S3 は SMB をサポートしていないため、アプリケーションが現在の方式(SMB)でアクセスできない。
- コードが書き換えられるまでの互換性が確保されない。
❌ C. AWS MGN を使って EC2 に移行
- AWS MGN は 仮想マシン単位の移行ツールで、ファイルストレージの用途には適さない。
- データアクセスの互換性や S3 保存先の要件も満たさない。
■ SAP試験で押さえておくべきポイント
| 観点 | 内容 |
|---|---|
| ✅ Storage Gateway ファイルゲートウェイ | SMB/NFS → S3 への中継に最適。オンプレとクラウド間の段階移行で有効 |
| ✅ SMB 接続継続が必要なケース | FSx ではなく File Gateway を選ぶ(バックエンドが S3) |
| ❌ S3 への直接コピー | S3 はファイルシステムではないため SMB などの互換性がない |
| ❌ AWS MGN の誤用 | MGN は「サーバー」移行ツール、ストレージ移行ではない |
この問題では、「段階移行(SMB維持→S3ネイティブ移行)」と「最終的に S3 に保存する」という二重の要件を読み取ることが重要です。Storage Gateway はこのような ハイブリッドクラウド・移行戦略の代表的なユースケースの1つなので、構成図込みで理解しておくと他の問題でも役立ちます。
以下は SAP試験・問題3 の整理と解説です。
■ 問題文(そのまま出力)
ある企業が新しいセキュリティ要件を導入しました。新しい要件によると、同社は VPC 内の企業の AWS インスタンスからのすべてのトラフィックをスキャンし、同社のセキュリティポリシーに違反していないかどうかを確認する必要があります。これらのスキャンの結果、同社は特定の IP アドレスへのアクセスと特定の IP アドレスからのアクセスをブロックできます。
新しい要件を満たすため、同社はプライベートサブネットに Amazon EC2 インスタンスのセットをデプロイし、透過的なプロキシとして機能させています。これらの EC2 インスタンスに承認済みのプロキシサーバーソフトウェアをインストールします。すべてのサブネットのルートテーブルを変更し、プロキシソフトウェアをインストールした対応する EC2 インスタンスをデフォルトルートとして使用します。また、セキュリティポリシーに準拠したセキュリティグループを作成し、これらのセキュリティグループを EC2 インスタンスに割り当てます。
これらの構成にもかかわらず、プライベートサブネット内の EC2 インスタンスのトラフィックはインターネットに適切に転送されていません。
この問題を解決する最適な方法を選択してください。
■ 選択肢(正解は伏せたまま)
A.
プロキシソフトウェアを実行する EC2 インスタンスの送信元 / 送信先チェックを無効にします。
B.
プロキシ EC2 インスタンスに割り当てられているセキュリティグループに、このセキュリティグループを持つインスタンス間のすべてのトラフィックを許可するルールを追加します。このセキュリティグループを VPC 内のすべての EC2 インスタンスに割り当てます。
C.
VPC の DHCP オプションセットを変更します。プロキシ EC2 インスタンスのアドレスを指すように DNS サーバーオプションを設定します。
D.
各プロキシ EC2 インスタンスに、追加の Elastic Network Interface を 1 つ割り当てます。これらのネットワークインターフェイスの 1 つにプライベートサブネットへのルートがあることを確認します。もう 1 つのネットワークインターフェイスがインターネットへのルートを持つようにします。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ トラフィック監視が必要 | インスタンスの通信をスキャンして制御したい |
| ✅ プライベートサブネット使用 | NAT や IGW に直接出ていけない構成 |
| ✅ プロキシをデフォルトルートにしている | 透過的プロキシにトラフィックを通す必要がある |
| ✅ トラフィックがインターネットに届いていない | 構成が不完全でパケット転送ができていない状態 |
■ 正解の選択肢とその解説
✅ A. 送信元 / 送信先チェックを無効にする
- 解説:
- Amazon EC2 はデフォルトで「送信元/送信先チェック」が有効であり、自分宛以外のトラフィックを通過させません。
- このチェックが有効な状態だと、プロキシとして他のインスタンスのパケットをルーティングできません。
- よって、プロキシ用 EC2 インスタンスでこのチェックを無効化することで、NAT やルーターのような振る舞いが可能になります。
■ 不正解の選択肢の理由
❌ B. セキュリティグループのトラフィック許可
- セキュリティグループでの許可は重要ですが、この問題の原因は「ルーティングできないこと」。
- 送信元/送信先チェックが有効だと、EC2 は中継できないので、ルール設定だけでは解決できません。
❌ C. DHCP オプションセット変更で DNS をプロキシにする
- DNS 解決の変更ではトラフィックのルーティングには影響を与えません。
- インターネットトラフィックが通らない問題の根本的な解決にならない。
❌ D. ENI を追加してルートを分ける
- 追加 ENI を使ってルートを分離する構成も可能ではあるが、送信元/送信先チェックが有効な限り中継はできない。
- ネットワーク構成の複雑化に対して、直接的な解決策になっていない。
■ SAP試験で押さえておくべきポイント
| ポイント | 説明 |
|---|---|
| ✅ 送信元 / 送信先チェックの理解 | デフォルトで有効。プロキシ・NAT・ファイアウォール用途には無効にする必要あり |
| ✅ EC2 を NATやルーターとして使う場合の条件 | source/dest check 無効化が必須 |
| ✅ 透過プロキシ構成時のルート設計 | ルートテーブルと併せて中継機能の設定を忘れない |
| ❌ セキュリティグループや DHCP の設定 | これは通信許可や名前解決に関する設定。ルーティングそのものには直接関与しない |
この問題は、AWSのVPCルーティングとEC2の動作特性に関する基本知識を問う典型的な設計系問題です。SAP試験では、機能要件(=トラフィック制御)を満たすインフラ設計が正しくできるかが問われるため、「EC2 が NAT / プロキシ的な役割を果たす場合の必須設定」は覚えておきましょう。
以下は SAP試験・問題4 の整理と解説です。
■ 問題文(そのまま出力)
ある企業は、データサイエンティストが業務関連のドキュメントを保存するための単一の Amazon S3 バケットを作成したいと考えています。同社は AWS IAM Identity Center を使用して、すべてのユーザーを認証します。データサイエンティストのグループが作成されました。
同社は、データサイエンティストに自分の作業のみへのアクセス権を付与したいと考えています。また、各ユーザーがどのドキュメントにアクセスしたかを示す月次レポートも作成したいと考えています。
これらの要件を満たす手順の組み合わせを選択してください。(2 つ選択)
■ 選択肢(正解は伏せたまま)
A.
カスタムの IAM Identity Center の許可セットを作成し、データサイエンティストに、ユーザー名タグと一致する S3 バケットのプレフィックスへのアクセスを許可します。ポリシーを使用して、${aws:PrincipalTag/userName}/* 条件を持つパスへのアクセスを制限します。
B.
データサイエンティストグループに、Amazon S3 の読み取りアクセスと書き込みアクセスを持つ IAM Identity Center ロールを作成します。IAM Identity Center ロールへのアクセスを許可する S3 バケットポリシーを追加します。
C.
AWS CloudTrail を設定して、S3 データイベントをログに記録し、ログを S3 バケットに配信します。Amazon Athena を使用して、Amazon S3 の CloudTrail ログに対してクエリを実行し、レポートを生成します。
D.
AWS CloudTrail を設定して、S3 管理イベントを CloudWatch に記録します。Amazon Athena の CloudWatch コネクタを使用して、ログをクエリし、レポートを生成します。
E.
EMR ファイルシステム (EMRFS) への S3 アクセスログを有効にします。Amazon S3 Select を使用して、ログをクエリし、レポートを生成します。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ 単一の S3 バケットを使用 | 複数ユーザーで共有される構成 |
| ✅ IAM Identity Center を使った認証 | SSOベースの認証環境 |
| ✅ ユーザーごとにアクセス制限したい | 各ユーザーが「自分の作業」のみにアクセス可能 |
| ✅ アクセスログの月次レポートが必要 | 誰がどのファイルにアクセスしたかを集計 |
■ 正解の選択肢とその解説
✅ A. IAM Identity Center の許可セット + ${aws:PrincipalTag/userName} によるアクセス制御
- 解説:
PrincipalTagを使ってポリシーで動的にアクセス制御できる。- 例えば
my-bucket/${aws:PrincipalTag/userName}/*という形式で、ユーザー名ごとのディレクトリにアクセス制限がかけられる。 - IAM Identity Center でユーザーにタグを割り当て、許可セットでS3アクセスを制限するのがベストプラクティス。
✅ C. CloudTrail データイベント + Athena によるアクセスレポートの生成
- 解説:
- S3 で誰がどのオブジェクトにアクセスしたかをログに残すには、**CloudTrailの「データイベント」**が必要。
- これを S3 に出力し、AthenaでSQLクエリを使って月次レポートを作成できる。
- CloudTrail 管理イベントではオブジェクトアクセスは追えない点に注意。
■ 不正解の選択肢の理由
❌ B. 単純な IAM Identity Center ロール+バケットポリシー
- 理由:
- 単一のロールを複数ユーザーで共有すると、個別ユーザーごとのアクセス制御ができない。
- タグベースの制御やディレクトリ分離の指定がなく、「自分の作業のみ」アクセス可という要件を満たせない。
❌ D. CloudTrail 管理イベント + CloudWatch + Athena
- 理由:
- CloudTrail の「管理イベント」では S3 バケット操作(作成・削除など)は記録されるが、オブジェクトへのアクセス操作は記録されない。
- そのため、ユーザーがどのファイルを読んだか/書いたかは追跡できず、要件不適合。
❌ E. EMRFSログ + S3 Select
- 理由:
- EMRFS は Amazon EMR 環境での S3アクセスに関連するログ機能。
- 本問では EMRを使用していないため、そもそもこの機能は適用不可。
■ SAP試験で押さえておくべきポイント
| ポイント | 内容 |
|---|---|
| ✅ IAM Identity Center + PrincipalTag を使った S3アクセス制御 | 複数ユーザーが共有バケットを使うとき、ユーザーごとのディレクトリ制御には PrincipalTag ベースのパス制限が有効。 |
| ✅ CloudTrailデータイベントの必要性 | S3アクセスの詳細(GET/PUT等)を記録したい場合は、必ずデータイベントを有効化する。 |
| ✅ Athenaによるログ分析 | CloudTrailログやアクセスログの集計には、Athena + S3 + パーティション設計が鉄板構成。 |
| ❌ 管理イベントでは不十分 | CloudTrailの管理イベントでは、S3の「オブジェクト操作」はカバーされない。用途を区別すること。 |
この問題は、IAM Identity Center(旧SSO)を活用したS3アクセス制御の実践知識と、監査要件(CloudTrail/Athena)の具体的な構成理解を問う良問です。SAP試験ではこのように、複数のAWSサービスを組み合わせて最適なセキュリティ+運用構成を設計できるかが問われます。
以下は SAP試験・問題5 の整理と解説です。
■ 問題文(そのまま出力)
ある企業は、オンプレミスのデータセンターがあり、Kubernetes を使用して AWS で新しいソリューションを開発しています。同社は、開発環境とテスト環境に Amazon Elastic Kubernetes Service (Amazon EKS) クラスターを使用しています。
本番ワークロード用の EKS コントロールプレーンとデータプレーンは、オンプレミスに配置する必要があります。同社は、Kubernetes 管理のために AWS マネージドソリューションを必要としています。
運用オーバーヘッドが最も少ないソリューションを選択してください。
■ 選択肢(正解は伏せています)
A.
オンプレミスのデータセンターに AWS Outposts サーバーをインストールします。本番ワークロード用に、Outposts サーバー上のローカルクラスター構成を使用して Amazon EKS をデプロイします。
B.
オンプレミスのデータセンターの自社ハードウェアに Amazon EKS Anywhere をインストールします。本番ワークロードを EKS Anywhere クラスターにデプロイします。
C.
オンプレミスのデータセンターに AWS Outposts サーバーをインストールします。本番ワークロード用に、Outposts サーバー上の拡張クラスター構成を使用して Amazon EKS をデプロイします。
D.
オンプレミスのデータセンターに AWS Outposts サーバーをインストールします。Outposts サーバーに Amazon EKS Anywhere をインストールします。本番ワークロードを EKS Anywhere クラスターにデプロイします。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ 本番ワークロードの EKSコントロールプレーンとデータプレーンはオンプレミスに配置したい | |
| ✅ Kubernetes管理は AWSマネージドソリューションで実現したい | |
| ✅ 運用オーバーヘッドが最小のソリューションを選ぶ必要がある |
■ 正解の選択肢とその解説
✅ A. Outpostsローカルクラスター構成のAmazon EKS
- 解説:
- AWS Outpostsサーバーをオンプレミスに導入し、その上で ローカルクラスター構成としてAmazon EKSを稼働させる。
- コントロールプレーンもノードもすべてOutposts上にあり、AWSが管理する完全マネージドなKubernetes環境をローカルに持てる。
- この構成により、クラウドの管理性+オンプレミス配置+高可用性が両立される。
- ネットワーク切断時も継続稼働でき、最小の運用負担で済む。
■ 不正解の選択肢の理由
❌ B. 自社ハードウェア上の EKS Anywhere
- 理由:
- EKS Anywhere は AWS 管理型ではなく、インフラの管理やアップデートは企業側の責任。
- AWSマネージドという要件に反する。また、運用オーバーヘッドが増大する。
❌ C. Outpostsでの拡張クラスター構成
- 理由:
- 拡張クラスター構成では コントロールプレーンがAWSクラウド側に残るため、完全オンプレミス構成ではない。
- また、接続要件や構成が複雑で、ローカルクラスターよりも管理負担が大きくなる。
❌ D. Outposts上にEKS Anywhere
- 理由:
- EKS Anywhere はあくまで自己管理型Kubernetes。
- OutpostsはAWSのマネージドサービスを動かすためのハードウェアなので、EKS Anywhereを載せると統合管理性が損なわれる。
- わざわざOutpostsを使う意味が薄れ、管理も複雑になる。
■ SAP試験で押さえておくべきポイント
| 観点 | 解説 |
|---|---|
| ✅ AWS Outpostsの2つのEKS構成 | – ローカルクラスター構成:全てオンプレに配置(低レイテンシ・高可用性)- 拡張クラスター構成:コントロールプレーンはAWSクラウド、ノードはOutposts |
| ✅ EKS Anywhereはマネージドではない | 管理者がEKSの運用・アップグレード・パッチ適用などを行う必要がある |
| ✅ 「マネージド」と「オンプレミス配置」の両立 | Outposts + ローカルクラスターが唯一の選択肢 |
| ✅ Outposts利用時の利点 | – クラウドと同等のAPI・運用がオンプレで可能- 通信切断時も安定稼働可能- AWSが管理するEKS環境が利用できる |
この問題は、ハイブリッドクラウド設計におけるKubernetesの運用戦略と、AWSのオンプレミス製品(Outposts)に対する理解を問う典型問題です。SAP試験ではこのように、要件に応じた適切なアウトプットアーキテクチャを選択する設計思考が試されます。
以下は SAP試験・問題6 の解説です。
■ 問題文(そのまま出力)
ソリューションアーキテクトは、クラウドエンジニアのチームが AWS CLI を使用して Amazon S3 バケットにオブジェクトをアップロードするための安全な方法を提供する必要があります。各クラウドエンジニアは、IAM ユーザー、IAM アクセスキー、仮想多要素認証 (MFA) デバイスを持っています。クラウドエンジニアの IAM ユーザーは、S3-access という名前のグループに入っています。クラウドエンジニアは、Amazon S3 でアクションを実行するために MFA を使用する必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(正解は伏せています)
A.
IAM ユーザーが S3 バケットでアクションを実行するときに、IAM ユーザーに MFA コードの入力を求めるポリシーを S3 バケットにアタッチします。Amazon S3 を呼び出すために、AWS CLI で IAM アクセスキーを使用します。
B.
S3-access グループの信頼ポリシーを更新して、プリンシパルがグループを引き受けるときにプリンシパルに MFA の使用を要求します。AWS CLI で IAM アクセスキーを使用して Amazon S3 を呼び出します。
C.
S3-access グループにポリシーをアタッチして、MFA が存在しない限りすべての S3 アクションを拒否します。Amazon S3 を呼び出すために、AWS CLI で IAM アクセスキーを使用します。
D.
S3-access グループにポリシーをアタッチして、MFA が存在しない限りすべての S3 アクションを拒否します。AWS Security Token Service (AWS STS) に一時的な認証情報を要求します。ユーザーが Amazon S3 でアクションを実行するときに Amazon S3 が参照するプロファイルに一時的な認証情報をアタッチします。
■ 問題文の要件の概要
| 要件 | 説明 |
|---|---|
| ✅ MFA の利用を必須化 | S3 アクションに MFA を要求する |
| ✅ IAM ユーザー使用 | IAM ユーザー+MFAデバイス所有者による CLI 操作 |
| ✅ CLI 経由で安全に S3 にアップロード | AWS CLI を用いたセキュアなアクセス手段が必要 |
■ 正解の選択肢とその解説
✅ D. MFA付きポリシー+STSの一時クレデンシャルを使用
- 理由:
- AWS IAM ポリシーで
aws:MultiFactorAuthPresent条件を使用し、MFA が有効でない場合は S3 アクションを拒否。 - MFA トークンを使って
aws sts get-session-tokenを実行し、**一時的なセッション認証情報(アクセスキー、シークレットキー、セッショントークン)**を取得。 - CLI 実行時にこの一時情報を用いることで、MFA の使用を強制し、静的キーを回避。
- AWS が推奨するベストプラクティスに基づく最も安全な方法。
- AWS IAM ポリシーで
■ 不正解の選択肢とその理由
❌ A. バケットポリシーで MFA 要求+IAM アクセスキー使用
- バケットポリシー単独では MFA を強制できない。
- 静的なアクセスキー使用によりセキュリティリスクが残る。
❌ B. グループの信頼ポリシーを更新して MFA 要求
- IAM グループには 信頼ポリシーは存在しない(ロールにしかない)。
- 構文エラー・設計ミス。MFA の強制手段として不適切。
❌ C. MFA 条件付きポリシーを付与するが静的キー使用
- ポリシーで MFA を条件にしていても、CLI の認証が MFA セッションを伴わないアクセスキーの場合は拒否されるだけで完了しない。
- 一時認証情報が必要であり、STS を介さないとMFA条件を満たせない。
■ SAP試験で押さえておくべきポイント
| 項目 | 解説 |
|---|---|
| ✅ MFAをIAMポリシーで強制 | Condition ブロックで aws:MultiFactorAuthPresent を true に設定 |
| ✅ AWS CLI で MFA を使う手順 | sts get-session-token に MFA を入力し、一時的な認証情報を取得して利用 |
| ✅ IAMユーザー+MFAを用いたセキュリティ強化 | 静的キーを排除し、短命なトークンによるアクセスがベストプラクティス |
| ✅ IAMグループには信頼ポリシーがない | ロールにのみ存在する概念。選択肢で混乱しやすいので注意 |
この問題は IAMポリシーによるMFA制御とAWS STSを使ったセキュアなアクセスフロー を問う、非常に実務的かつ頻出のセキュリティ設計問題です。
SAP試験では、**静的キーの回避と一時的認証情報の活用(セキュリティ強化)**がよく問われるポイントとなります。
以下は SAP試験・問題7 の解説です。
■ 問題文(そのまま出力)
ある小売企業が、世界中の全店舗に IoT センサーを設置しています。各センサーの製造中に、同社のプライベート認証機関 (CA) は、一意のシリアル番号を含む X.509 証明書を発行します。その後、同社は各証明書をそれぞれのセンサーにデプロイします。
ソリューションアーキテクトは、センサーが設置された後に AWS にデータを送信できるようにする必要があります。センサーは、設置されるまで AWS にデータを送信できないようにする必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(正解は伏せています)
A.
シリアル番号を検証できる AWS Lambda 関数を作成します。AWS IoT Core プロビジョニングテンプレートを作成します。Parameters セクションに SerialNumber パラメータを含めます。Lambda 関数を事前プロビジョニングフックとして追加します。製造中に、RegisterThing API オペレーションを呼び出して、テンプレートとパラメータを指定します。
B.
シリアル番号を検証できる AWS Step Functions ステートマシンを作成します。AWS IoT Core プロビジョニングテンプレートを作成します。Parameters セクションに SerialNumber パラメータを含めます。パラメータを検証する Step Functions ステートマシンを指定します。インストール中に StartThingRegistrationTask API オペレーションを呼び出します。
C.
シリアル番号を検証できる AWS Lambda 関数を作成します。AWS IoT Core プロビジョニングテンプレートを作成します。Parameters セクションに SerialNumber パラメータを含めます。Lambda 関数を事前プロビジョニングフックとして追加します。CA を AWS IoT Core に登録し、プロビジョニングテンプレートを指定して、allow-auto-registration パラメータを設定します。
D.
AWS IoT Core プロビジョニングテンプレートを作成します。Parameters セクションに SerialNumber パラメータを含めます。テンプレートにパラメータ検証を含めます。CA を使用する各デバイスの請求証明書と秘密鍵をプロビジョニングします。AWS IoT Core サービスに、プロビジョニング中に AWS IoT things を更新する権限を付与します。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ センサー設置前はAWSへの送信不可 | 未設置時に認証や登録が行えないよう制御が必要 |
| ✅ 各センサーにX.509証明書あり | プライベートCAにより製造時に付与 |
| ✅ 設置後にAWSに送信できるように | 適切な検証とプロビジョニングが必要 |
■ 正解の選択肢とその解説
✅ C. Lambda+事前プロビジョニングフック+allow-auto-registration の使用
- 理由:
- IoT Core にプライベートCAを登録し、証明書による**自動登録(allow-auto-registration)**を有効化。
- プロビジョニングテンプレートで、事前プロビジョニングフックとして Lambda 関数を使い、シリアル番号検証を実施。
- Lambda による検証に通ったセンサーだけが AWS にデータを送信できるようになる。
- 製造時に証明書をセンサーに入れておいても、設置時に初めて自動登録が行われる構成となり、要件を満たす。
■ 不正解の選択肢の理由
❌ A. 製造中に RegisterThing API を実行
- 登録を製造段階で行ってしまうため、設置前でも AWS へ送信可能な状態になってしまう。
- 「センサーは設置されるまで AWS に送信できないようにする」という要件を満たせない。
❌ B. Step Functions を使ったプロビジョニング
- Step Functions による複雑な検証は可能だが、事前プロビジョニングフックやCAの自動登録設定がない。
- センサー設置前に StartThingRegistrationTask を呼び出すと、未設置でもデータ送信できる状態になる可能性がある。
❌ D. テンプレート検証+証明書プロビジョニングのみ
- allow-auto-registration 設定がなく、センサーが設置されるまでブロックする仕組みが不明確。
- 明示的なセキュリティ制御が不足しており、設置状態の確認ができない構成。
■ SAP試験で押さえておくべきポイント
| 観点 | 内容 |
|---|---|
| ✅ IoT Coreのプロビジョニング | テンプレート+事前プロビジョニングフック(Lambda)で登録前検証が可能 |
| ✅ allow-auto-registration | CA 登録+この設定により、証明書ベースの自動Thing登録が可能 |
| ✅ セキュリティ要件を設計で満たす | センサーが「設置済」であることを シリアル番号などで検証しなければならない |
| ✅ IoT設計問題の頻出形式 | IoT デバイス管理、証明書制御、プロビジョニングワークフローは SAP 試験でも重要な出題分野 |
この問題では、「設置前のブロック」という要件を満たすために、登録タイミングと認証制御の構成を正しく理解することがカギです。IoT Core のプロビジョニングテンプレートと Lambda を連携させた検証は、現実のセキュリティ設計でも重要なスキルです。
