以下に、AWS Certified Solutions Architect – Professional(SAP)試験の問題を指定の形式で整理・解説いたします。
■ 問題文(原文をそのまま表示)
ある企業には、AWS Key Management Service (AWS KMS) を使用してデータを暗号化および復号化するアプリケーションがあります。このアプリケーションは、AWS リージョンの Amazon S3 バケットにデータを保存します。会社のセキュリティポリシーは、データを S3 バケットに配置する前にデータを暗号化する必要があります。アプリケーションは、S3 バケットからファイルを読み取るときにデータを復号化する必要があります。
会社は、S3 バケットを他のリージョンに複製します。ソリューションアーキテクトは、アプリケーションがリージョン間でデータを暗号化および復号化できるようにソリューションを設計する必要があります。アプリケーションは、各リージョンで同じキーを使用してデータを復号化する必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(正誤を伏せてそのまま表示)
A.
KMS マルチリージョンのプライマリキーを作成します。KMS マルチリージョンのプライマリキーを使用して、アプリケーションが実行されている追加の各リージョンに KMS マルチリージョンのレプリカキーを作成します。各リージョンで特定のレプリカキーを使用するように、アプリケーションコードを更新します。
B.
アプリケーションを実行する各追加リージョンに、新しいカスタマーマネージドキー (KMS キー) を作成します。各リージョンで特定の KMS キーを使用するように、アプリケーションコードを更新します。
C.
AWS プライベート認証機関を使用して、プライマリリージョンに新しい証明機関 (CA) を作成します。アプリケーションのウェブサイト URL 用の新しいプライベート証明書を CA から発行します。AWS Resource Access Manager (AWS RAM) を使用して、CA を追加のリージョンと共有します。各リージョンで共有された CA 証明書を使用するように、アプリケーションコードを更新します。
D.
AWS Systems Manager Parameter Store を使用して、アプリケーションが実行されている各追加リージョンにパラメータを作成します。プライマリリージョンの KMS キーからキーマテリアルをエクスポートします。各リージョンのパラメータにキーデータを保存します。各リージョンのパラメータからキーデータを使用するようにアプリケーションコードを更新します。
■ 問題文の要件の概要
- AWS KMS を使った 事前暗号化 と 復号 が必要
- S3 を マルチリージョンで複製
- 各リージョンで「同じキーで復号化」したい
- アプリケーションが各リージョンで同じキーを使えるようにすることが要件
■ 正解の選択肢と解説
正解:A. KMS マルチリージョンのプライマリキー + レプリカキー
解説:
KMS マルチリージョンキーを使うと、同一のキーマテリアルとキーIDをもつキーを複数リージョンに展開できる。これにより、一つのリージョンで暗号化したデータを、別リージョンで復号化できるようになる。これが「各リージョンで同じキーを使用して復号化」の要件を唯一満たす選択肢。
■ 不正解の選択肢の理由
B. 各リージョンで別のカスタマーマネージドキーを作成
→ 各リージョンでキーが異なるため、同じキーマテリアルでの復号ができず要件不一致。暗号化と復号の整合性が取れない。
C. AWS プライベート CA + RAM + 証明書共有
→ CA(証明機関)は TLS 通信証明に用いられるものであり、KMS キーの代替にはならない。用途が異なるため不適。
D. Parameter Store にキーマテリアル保存
→ KMS キーのキーマテリアルは AWS によって厳密に管理されており、エクスポート自体ができない。セキュリティ面からも不適切な提案。
■ SAP試験で押さえておくべきポイント
- KMS マルチリージョンキー は、クロスリージョンな暗号化/復号のニーズに最適
- KMS キーは エクスポート不可(セキュリティの観点から)
- CA や証明書はデータ暗号化用途ではなく TLS/HTTPS など通信の証明に使う
- 各リージョンで 同一キーを使いたい場合は「マルチリージョンキー」一択
次の問題があれば、引き続きどうぞ。
複数まとめて送っていただいても構いません。
以下に、AWS Certified Solutions Architect – Professional(SAP)試験の問題2について、指定の形式で解説します。
■ 問題文(原文)
ある企業が Amazon API Gateway API を作成し、外部の開発チームと API を共有しています。API は AWS Lambda 関数を使用し、Production と名付けられたステージにデプロイされています。
外部の開発チームは API の唯一の消費者です。API は特定の時間帯に使用量が急激に増加するため、コスト増が懸念されます。同社は Lambda 関数を作り直すことなく、コストと使用量を制限する必要があります。
これらの要件を最もコスト効率よく満たすソリューションを選択してください。
■ 選択肢
A.
Lambda 関数に直接リクエストを送信するのではなく、Amazon Simple Queue Service (Amazon SQS) キューにリクエストを送信するように API を構成します。Lambda 関数を更新して、キューからメッセージを消費し、リクエストを処理します。新しいメッセージが到着したときに Lambda 関数を呼び出すようにキューを設定します。
B.
各 Lambda 関数にプロビジョニング済み同時実行を設定します。AWS Application Auto Scaling を使用して、Lambda 関数をターゲットとして登録します。API 使用量の変化に合わせて容量を増減するスケーリングスケジュールを設定します。
C.
API Gateway API キーと AWS WAF Regional ウェブ ACL を作成します。ウェブ ACL を Production ステージに関連付けます。ウェブ ACL にレートベースのルールを追加します。ルールで、レート制限と、X-API-Key ヘッダーを使用するカスタムリクエスト集計を指定します。API キーを外部の開発チームと共有します。
D.
API Gateway API キーと使用量プランを作成します。使用量プランでスロットリング制限とクォータを定義します。使用量プランを Production ステージと API キーに関連付けます。API キーを外部の開発チームと共有します。
■ 問題文の要件の概要
- Lambda 関数を 作り直さずに 対応することが必要
- 使用量とコストを 特定時間帯に制限 したい
- API の外部利用者(開発チーム)に対し、制御を加えたい
- 最も コスト効率が高い ソリューションを選ぶことが問われている
■ 正解の選択肢と解説
正解:D. API Gateway API キーと使用量プランの活用
解説:
API Gateway の 使用量プランは、API キーごとに次のような制御を提供します:
- スロットリング(秒あたりのリクエスト数)
- クォータ(1日/1週/1ヶ月あたりの最大リクエスト数)
この仕組みにより、Lambda 関数自体の変更なく、外部の開発チームからのアクセス量を制限できます。また、API キーを通じて特定のクライアントを制御できるため、使用者ごとの制御が可能で、管理・課金の透明性も高まります。
■ 不正解の選択肢の理由
A. SQS 経由に変更
→ Lambda 関数の動作を変更する必要がある(=作り直し)。設問の「Lambda 関数を作り直すことなく」に違反。初期開発・運用コストも増大。
B. プロビジョニング済み同時実行 + Auto Scaling
→ 同時実行数の予約はコストが増える方向の施策であり、スロットリングの目的と逆。Auto Scaling の適用も管理が煩雑で目的に適さない。
C. AWS WAF を使ったレート制限
→ WAF によるレート制御は可能だが、設定が複雑で、API Gateway の本来の使用量制御機能を使わずに複雑化してしまっている。目的に対して冗長で非効率。
■ SAP試験で押さえておくべきポイント
✅ API Gateway 使用量プランの用途
- スロットリングとクォータで外部利用を制御できる
- クライアント単位で API キーによる制御が可能
- Lambda のコードや構成を変更せずに制限を加える方法として最適
✅ コスト効率を問われる場合は、プロビジョニング済み同時実行やWAFは不適
✅ 設問で「Lambda を作り直さずに」「外部開発チームにのみ対応」など、前提条件を丁寧に読むことが重要
次の問題があれば、続けて送ってください。何問でも対応可能です。
以下に、問題3 について AWS SAP 試験形式に基づいて整理・解説します。
■ 問題文(原文)
ある企業が、オンプレミスのデータセンターから AWS に仮想 Microsoft ワークロードを移行したいと考えています。同社は、AWS 上でいくつかのサンプルワークロードのテストに成功しています。同社はまた、VPC への AWS Site-to-Site VPN 接続を作成しました。ソリューションアーキテクトは、データセンターからすべてのワークロードを移行するための総所有コスト (TCO) レポートを作成する必要があります。
Simple Network Management Protocol (SNMP) がデータセンター内の各 VM で有効になっています。同社は、データセンター内に VM を追加することはできず、VM に追加のソフトウェアをインストールすることもできません。検出データは、AWS Migration Hub に自動的にインポートされる必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢
A.
AWS Application Migration Service エージェントレスサービスと AWS Migration Hub Strategy Recommendations を使用して、TCO レポートを作成します。
B.
Windows の Amazon EC2 インスタンスを起動します。EC2 インスタンスに Migration Evaluator エージェントレスコレクターをインストールします。TCO レポートを作成するように Migration Evaluator を構成します。
C.
Windows Amazon EC2 インスタンスを起動します。EC2 インスタンスに Migration Evaluator エージェントレスコレクターをインストールします。TCO レポートを作成するように Migration Hub を構成します。
D.
VPC 内で AWS Migration Readiness Assessment ツールを使用します。TCO レポートを作成するように Migration Evaluator を構成します。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ 移行の TCOレポートを作成 したい | |
| ✅ エージェントレスである必要がある(ソフトウェアインストール不可) | |
| ✅ SNMP が有効な VM を使ってデータを収集したい | |
| ✅ Migration Hub に自動インポートされる必要がある |
■ 正解の選択肢と解説
正解:B
Windows EC2 に Migration Evaluator エージェントレスコレクターをインストール
解説:
AWS Migration Evaluator は、オンプレミスのリソース情報を収集し、TCO(総所有コスト)レポートを自動生成できる唯一のサービスです。
エージェントレスコレクターは、SNMP や WMI、vSphere などの標準プロトコルを通じて既存 VM から情報を収集します。
追加ソフトウェアのインストール不要で、VM に負担をかけずにデータ収集が可能です。
さらに、Migration Evaluator のコレクターで取得したデータは、Migration Hub に連携されるため、「自動インポート」の要件も満たします。
■ 不正解の選択肢の理由
A. Application Migration Service + Strategy Recommendations
→ Strategy Recommendations は「移行戦略(リファクター/リホスト)」の提案ツールであり、TCO レポートの作成機能は持ちません。
C. Migration Hub を構成して TCO レポート
→ Migration Hub は 進捗管理・可視化ツールであり、TCO レポートのためのデータ収集機能は持ちません。Migration Evaluator の情報を見るための UI としては使えますが、データ取得には Evaluator が必要です。
D. Migration Readiness Assessment ツール
→ Readiness Assessment は「組織として移行準備ができているか?」を評価するチェックリスト的なツールです。
TCO のようなハードな数値分析とは目的が違うため不適です。
■ SAP試験で押さえておくべきポイント
✅ Migration Evaluator の特徴
- オンプレVMに追加のソフトウェア不要(エージェントレス)
- SNMP や WMI など標準プロトコルで情報収集
- TCOレポート自動作成が可能
- EC2にインストールしたコレクター経由で Migration Hub に自動連携
✅ 混同注意!
- Migration Hub:可視化ツールであり、データ収集機能はない
- Strategy Recommendations:移行パス提案ツール。TCOは計算しない
- Readiness Assessment:準備状況の評価。インベントリ情報を扱わない
次の問題もどうぞ!Migration 系やコスト系、設計系すべて対応できます。
以下に、AWS Certified Solutions Architect – Professional (SAP) 試験の問題4について、指定フォーマットで整理・解説します。
■ 問題文(原文)
ある企業が、今後 3 年間実行されるプロジェクトのために AWS でアプリケーションをホストしています。このアプリケーションは、Network Load Balancer (NLB) のターゲットグループに登録されている 20 台の Amazon EC2 オンデマンドインスタンスで構成されています。インスタンスは 2 つのアベイラビリティーゾーンに分散されています。アプリケーションはステートレスで、1 日 24 時間、週 7 日間実行されます。
同社は、アプリケーションからの応答が遅いというユーザーからの報告を受けています。パフォーマンスメトリクスによると、通常のアプリケーション使用時のインスタンスの CPU 使用率は 10 % です。しかし、通常数時間続く混雑時には、CPU 使用率が 100 % に増加します。同社は、アプリケーションからの応答が遅いという問題を解決する新しいアーキテクチャが必要です。
これらの要件を最もコスト効率よく満たすソリューションを選択してください。
■ 選択肢
A.
Auto Scaling グループを作成します。Auto Scaling グループを NLB のターゲットグループにアタッチします。最小キャパシティを 20、希望するキャパシティを 28 に設定します。20 インスタンス分のリザーブドインスタンスを購入します。
B.
リクエストタイプが request のスポットフリートを作成します。TotalTargetCapacity パラメータを 20 に設定します。DefaultTargetCapacityType パラメータを On-Demand に設定します。スポットフリートの作成時に NLB を指定します。
C.
リクエストタイプが maintain のスポットフリートを作成します。TotalTargetCapacity パラメータを 20 に設定します。DefaultTargetCapacityType パラメータを Spot に設定します。NLB を Application Load Balancer に置き換えます。
D.
Auto Scaling グループを作成します。Auto Scaling グループを NLB のターゲットグループにアタッチします。最小キャパシティを 4、最大キャパシティを 28 に設定します。リザーブドインスタンスを 4 台分購入します。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ 3年間継続するプロジェクト | |
| ✅ アプリケーションは 24時間365日稼働 | |
| ✅ 混雑時は CPU 使用率が 急上昇(100%) | |
| ✅ 応答遅延を防ぐため、スケーラブルな構成が必要 | |
| ✅ コスト効率重視(≒RIやスケーリング戦略の検討が必要) |
■ 正解の選択肢と解説
正解:D. Auto Scaling + 最小4台 + 最大28台 + RIを4台分購入
✅ 解説:
- Auto Scaling Group(ASG) により、混雑時に自動的にスケールアウト、平常時にはスケールインが可能
- 最小キャパシティ4台 ➜ 普段の低CPU時(10%)に対応し、リザーブドインスタンス(RI)を4台分だけ購入すればよい(≒平常時コスト最適化)
- 最大キャパシティ28台 ➜ 短時間の混雑時にも柔軟にリソース追加可能
- NLB継続使用 ➜ ステートレスな高速TCP処理に適しており、変更不要
この構成なら、コストを最小化しつつパフォーマンス問題も解決可能です。
■ 不正解の選択肢の理由
A. 最小20・希望28 + RI20台分
- 最小数が高すぎるため、アイドルリソースが常に稼働し続けてしまい非効率
- RI20台分購入は過剰コスト(ピークではなく常時リザーブ状態)
B. スポットフリート(Default: On-Demand)
requestタイプは都度確保であり、スポットの信頼性が低いDefaultTargetCapacityType = On-Demandでは 結局コストが高くなる
C. スポットフリート + ALB
- 24時間稼働系で スポットオンリーは可用性リスクが大きい
- ALB への置き換えは HTTP/S レイヤーが必要なときのみ有効で、NLB(TCP処理)と要件が合っていない
■ SAP試験で押さえておくべきポイント
✅ Auto Scaling + リザーブドインスタンス の組み合わせは、コスト最適化とスケーラビリティのベストプラクティス
✅ RIは通常時に必要な台数分だけ購入し、ピーク分はオンデマンドでスケールさせるのが合理的
✅ スポットインスタンスは短期バッチや非クリティカルなジョブ向け
✅ NLB vs ALB の適用条件
- NLB:L4(TCP/UDP)、高スループット、低レイテンシ
- ALB:L7(HTTP/HTTPS)、パスベース・ホストベースルーティング対応
次の問題もどうぞ。コスト最適化やアーキテクチャ設計系は特に頻出です。
以下に、AWS SAP試験の問題5 を指定フォーマットで整理・解説します。
■ 問題文(原文)
ある企業は、AWS Organizations の 1 つの組織に複数の AWS アカウントを持っています。この企業は、AWS アカウントのアクティビティを保存し、SQL を使用して中央のロケーションからデータをクエリする必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢
A.
各アカウントに AWS CloudTrail の証跡を作成します。証跡の CloudTrail 管理イベントを指定します。Amazon CloudWatch Logs にイベントを送信するように CloudTrail を構成します。CloudWatch のクロスアカウントオブザーバビリティを設定します。CloudWatch Logs Insights でデータをクエリします。
B.
委任された管理者アカウントを使用して、AWS CloudTrail Lake データストアを作成します。データストアに CloudTrail 管理イベントを指定します。組織内のすべてのアカウントに対してデータストアを有効にします。CloudTrail Lake のデータをクエリします。
C.
委任された管理者アカウントを使用して、AWS CloudTrail の証跡を作成します。証跡の CloudTrail 管理イベントを指定します。組織内のすべてのアカウントに対して証跡を有効にします。その他の設定はすべてデフォルトのままにします。CloudTrail イベント履歴ページから CloudTrail データをクエリします。
D.
AWS CloudFormation StackSets を使用して、各アカウントに AWS CloudTrail Lake データストアをデプロイします。データストアに CloudTrail 管理イベントを指定します。他のすべての設定をデフォルトのままにして、CloudTrail Lake のデータをクエリします。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ AWS Organizations 環境(複数アカウント) | |
| ✅ 各アカウントのアクティビティログを保存 | |
| ✅ SQL でクエリ可能 | |
| ✅ **中央管理型(集中管理)**のアプローチが必要 |
■ 正解の選択肢と解説
正解:B. CloudTrail Lake + 委任管理者 + 組織全体のデータ集約
✅ 解説:
- CloudTrail Lake は CloudTrail データを「イベントデータストア」に保存し、SQL クエリで分析できる機能を提供
- 委任された管理者アカウントを使用すれば、Organizations 配下のすべてのアカウントからのイベントを一か所に集約可能
- マルチアカウント対応・SQL クエリ・中央集約すべてにマッチ
■ 不正解の選択肢の理由
A. CloudTrail → CloudWatch Logs → Logs Insights
- CloudWatch Logs Insights は SQL 風だが、完全な SQL ではなく制限がある
- CloudWatch のクロスアカウント設定は複雑で、管理性・拡張性に難
- データの中央集約が困難(各アカウントにロググループを作る必要がある)
C. CloudTrail の証跡 + デフォルト設定
- CloudTrail 証跡でのログ記録はできるが、SQL クエリや統合的な分析機能がない
- デフォルト設定では、短期間のイベント履歴しか保持されず分析用途に不十分
D. StackSets で各アカウントに Lake をデプロイ
- 各アカウントに 別々の CloudTrail Lake データストアを作ることになる
- データが分散されてしまい、中央集約・一括SQLクエリができない
■ SAP試験で押さえておくべきポイント
✅ CloudTrail Lake の特徴:
- CloudTrail イベントを保持する「データストア」を作成可能
- 組織単位の設定が可能で、Organizations 全体のイベントを一か所に集約可能
- SQLベースでイベントを分析・検索可能(CloudTrail Insightsとは異なる)
✅ 比較観点:
| 機能 | CloudTrail Lake | CloudTrail Logs + Insights |
|---|---|---|
| SQLクエリ | ✅ 標準SQL | ❌ 限定的な構文 |
| データ集約 | ✅ 組織単位で集中 | ❌ アカウントごとに分散しやすい |
| 管理性 | ✅ 高 | ❌ クロスアカウント設定が複雑 |
次の問題もぜひお送りください。CloudTrail やログ集約系は SAP 試験でもよく問われます。
以下に、AWS SAP試験の問題6 を指定フォーマットで整理・解説します。
■ 問題文(原文)
ある企業が AWS クラウドで複数のアプリケーションを実行しています。これらのアプリケーションは、企業内の別々の事業部に特化しています。同社は、AWS Organizations の組織内にある複数の AWS アカウントで、アプリケーションのコンポーネントを実行しています。
同社の組織内のすべてのクラウドリソースには、
BusinessUnitという名前のタグがあります。すべてのタグは、事業部名の適切な値をすでに持っています。同社は、クラウドコストを異なる事業部に割り当てる必要があります。また、各事業部門のクラウドコストを視覚化する必要もあります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢
A.
組織の管理アカウントで、BusinessUnit という名前のコスト配分タグを作成します。また、管理アカウントで Amazon S3 バケットと AWS コストと使用状況レポート (AWS CUR) を作成します。S3 バケットを AWS CUR の送信先として設定します。管理アカウントから、Amazon Athena を使用して AWS CUR データをクエリします。視覚化には Amazon QuickSight を使用します。
B.
各メンバーアカウントで、BusinessUnit という名前のコスト配分タグを作成します。組織の管理アカウントで Amazon S3 バケットと AWS CUR を作成します。S3 バケットを CUR の送信先として設定します。視覚化には Amazon CloudWatch ダッシュボードを作成します。
C.
管理アカウントで BusinessUnit タグを作成し、各メンバーアカウントで個別に AWS CUR と S3 バケットを作成します。視覚化には Amazon CloudWatch ダッシュボードを使います。
D.
各メンバーアカウントで BusinessUnit タグと AWS CUR、S3 バケットを設定します。管理アカウントで Athena・QuickSight を使って可視化します。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ AWS Organizations 配下の複数アカウント | |
✅ リソースにタグ BusinessUnit が付与済み | |
| ✅ コストを事業部単位で 割り当て(配賦) | |
| ✅ 各事業部のクラウドコストを 視覚化(可視化) |
■ 正解の選択肢と解説
正解:A
✅ 解説:
- コスト配分タグ(Cost Allocation Tag) を有効化することで、タグ単位のコスト管理が可能に
- AWS Cost and Usage Report(CUR) を使用すると、最も詳細なコストデータが得られる
- CUR を Amazon S3 に保存し、Athena でクエリ、QuickSight で可視化するのが定番パターン
- 管理アカウントで一元管理することで、複数アカウントのコスト集計も可能
■ 不正解の選択肢の理由
B.
- CloudWatch ダッシュボードは コストの可視化に不適切
- コスト配分タグが メンバーアカウントで作成されており、Organizations 管理アカウントに統一されていないため、集計・統一管理ができない
C.
- CUR が メンバーアカウントごとに分散して保存されるため、集計困難で非効率
- CloudWatch ダッシュボードも可視化用途として適していない
D.
- コスト配分タグも CUR も各メンバーアカウントでバラバラに設定されており、Athena での統一クエリが困難
- 一元管理という要件に反する構成
■ SAP試験で押さえておくべきポイント
| 機能 | 説明 |
|---|---|
| ✅ コスト配分タグ | タグベースでコスト割当て・追跡が可能に(事前に有効化が必要) |
| ✅ AWS CUR | 最も詳細な課金・使用量データ、Athena でクエリ可能 |
| ✅ Amazon Athena | S3上のCURデータに対してSQLクエリ |
| ✅ Amazon QuickSight | データ可視化のためのBIツール。Athenaと連携可能 |
| ❌ CloudWatch Dashboards | コストの可視化には不向き(監視向け) |
次の問題もあればお送りください。タグベースのコスト管理や可視化は SAP 試験の頻出トピックです。
以下に、AWS Certified Solutions Architect – Professional (SAP) 試験の問題7を指定フォーマットで整理・解説します。
■ 問題文(文字列そのまま)
ある企業が、オンプレミスのデータセンターから AWS クラウドへの移行を計画しています。同社は、AWS Organizations の組織で管理される複数の AWS アカウントを使用することを計画しています。同社は、最初に少数のアカウントを作成し、必要に応じてアカウントを追加します。ソリューションアーキテクトは、すべての AWS アカウントで AWS CloudTrail を有効にするソリューションを設計する必要があります。
これらの要件を満たす、最も運用効率の高いソリューションを選択してください。
■ 選択肢(文字列編集せず)
A.
組織内のすべての AWS アカウントに新しい CloudTrail の証跡を作成する AWS Lambda 関数を作成します。Amazon EventBridge のスケジュールされたアクションを使用して、毎日 Lambda 関数を呼び出します。
B.
組織の管理アカウントに新しい CloudTrail の証跡を作成します。組織内のすべての AWS アカウントのすべてのイベントをログに記録するように証跡を設定します。
C.
組織内のすべての AWS アカウントに新しい CloudTrail の証跡を作成します。新しいアカウントが作成されるたびに新しい証跡を作成します。証跡の削除や変更を防止する SCP を定義します。SCP をルート OU に適用します。
D.
組織内のすべての AWS アカウントに CloudTrail の証跡を作成する AWS Systems Manager オートメーションランブックを作成します。Systems Manager State Manager を使用して自動化を呼び出します。
■ 問題文の要件の概要
| 要件 | 説明 |
|---|---|
| ✅ AWS Organizations 管理下の複数アカウント | |
| ✅ CloudTrail をすべてのアカウントで有効化したい | |
| ✅ 新しいアカウント追加にも対応する必要がある | |
| ✅ 運用効率の高い(自動化・一元管理)ソリューションが求められている |
■ 正解の選択肢と解説
正解:B
✅ 解説:
- CloudTrail では、組織の管理アカウントから「組織の証跡(Organization trail)」を作成することで、Organizations配下のすべてのアカウントのアクティビティを自動で記録できます。
- この証跡は、新しくアカウントが追加された際にも自動で記録対象に含まれるため、後から設定を追加する必要がありません。
- 運用効率が非常に高い、推奨のベストプラクティス構成です。
■ 不正解の選択肢の理由
A. Lambda+EventBridge
- 自動化はされているが、アカウント追加時に手動対応が必要。
- Lambda関数を毎日呼び出す構成は、不要な複雑さと運用コストを招く。
C. 各アカウントに証跡+SCP
- 新規アカウントごとに証跡を個別に作るのは 非効率。
- SCP による保護はよいが、そもそも個別証跡が不要。
D. Systems Manager オートメーション
- オートメーションは便利だが、新規アカウント作成のたびに実行が必要で手間。
- CloudTrail の「組織の証跡」機能に比べて、一貫性と自動性に劣る。
■ SAP試験で押さえておくべきポイント
| 機能 | 内容 |
|---|---|
| ✅ CloudTrail 組織の証跡 | 管理アカウントで作成 → すべての組織アカウントのログ収集が可能 |
| ✅ 新規アカウントの自動カバー | 組織証跡なら追加設定不要で新アカウントにも適用される |
| ✅ セキュリティ・コンプライアンス対策 | ログの集中管理ができ、S3で暗号化・保管・監査可能 |
| ❌ アカウントごとの個別証跡管理 | 運用負荷・設定ミスの原因になるため避けるべき |
この内容は、CloudTrail・Organizations・セキュリティ監査に関する典型的な問題です。
次の問題もあれば送ってください。引き続きフォーマットで整理します!
