以下は、AWS Certified Solutions Architect – Professional(SAP)試験の問題1に対する整理・解説です。
■問題文
ある企業は、アプリケーションをオンプレミスのインフラストラクチャから AWS クラウドに移行しています。移行設計会議中に、同社は従来の Windows ファイルサーバーの可用性と回復オプションについて懸念を表明しました。ファイルサーバーには、データの破損やデータ損失が発生した場合に再作成できないビジネスクリティカルな機密データが含まれています。コンプライアンス要件に従って、データはパブリックインターネットを介さずに移動する必要があります。同社は、可能な限り AWS マネージドサービスに移行したいと考えています。
同社は、Amazon FSx for Windows File Server ファイルシステムにデータを保存することを決定しました。ソリューションアーキテクトは、ディザスタリカバリ (DR) の目的でデータを別の AWS リージョンにコピーするソリューションを設計する必要があります。
これらの要件を満たすソリューションを選択してください。
■選択肢
A.
DR リージョンに宛先 Amazon S3 バケットを作成します。Amazon FSx File Gateway を使用して、プライマリリージョンの FSx for Windows File Server ファイルシステムと DR リージョンの S3 バケット間の接続を確立します。FSx File Gateway で S3 バケットを継続的なバックアップソースとして構成します。
B.
DR リージョンに FSx for Windows File Server ファイルシステムを作成します。AWS Site-to-Site VPN を使用して、プライマリリージョンの VPC と DR リージョンの VPC 間の接続を確立します。VPN エンドポイントを使用して通信するように AWS DataSync を構成します。
C.
DR リージョンに FSx for Windows File Server ファイルシステムを作成します。VPC ピアリングを使用して、プライマリリージョンの VPC と DR リージョンの VPC 間の接続を確立します。AWS DataSync を構成し、AWS PrivateLink のインターフェイス VPC エンドポイントを使用して通信します。
D.
DR リージョンに FSx for Windows File Server ファイルシステムを作成します。各リージョンの AWS Transit Gateway を使用して、プライマリリージョンの VPC と DR リージョンの VPC 間の接続を確立します。AWS Transfer Family を使用して、プライマリリージョンの FSx for Windows File Server ファイルシステムと DR リージョンの FSx for Windows File Server ファイルシステム間のファイルを、プライベート AWS バックボーンネットワーク経由でコピーします。
■問題文の要件の概要
- オンプレからAWSへの移行
- FSx for Windows File Server を使用
- データは「再作成できない」重要な情報
- 「パブリックインターネットを経由しない」ことがコンプライアンス要件
- DRリージョンへコピーしたい
- 「マネージドサービスを優先」したい
■正解の選択肢と解説
正解:C
DR リージョンに FSx for Windows File Server ファイルシステムを作成します。VPC ピアリングを使用して、プライマリリージョンの VPC と DR リージョンの VPC 間の接続を確立します。AWS DataSync を構成し、AWS PrivateLink のインターフェイス VPC エンドポイントを使用して通信します。
- AWS DataSync は FSx をサポートし、高速かつ安全にデータを移動可能。
- AWS PrivateLink を用いることで インターネット非経由で通信ができ、コンプライアンス要件を満たす。
- VPCピアリング によりリージョン間のプライベート接続が可能。
- すべて AWSマネージドサービス を活用しており、要件に最も合致。
■不正解の選択肢の理由
A. FSx File Gateway + S3
- FSx File Gateway はオンプレ向けのキャッシュ型アクセス用であり、DR構成としては不適。
- S3 への転送時に パブリックインターネット経由の可能性あり、コンプライアンスに違反。
B. Site-to-Site VPN + DataSync
- Site-to-Site VPN は暗号化されているが、基盤はパブリックインターネットであるため要件を満たさない。
- VPNは冗長性や可用性の面でも不利。
D. Transit Gateway + Transfer Family
- Transfer Family は主に SFTPやFTPS のワークロード向けであり、FSx間のデータ同期には不適切。
- Transit Gatewayも直接DR要件を解決しない。
■SAP試験で押さえておくべきポイント
- AWS DataSync + PrivateLink の組み合わせは、インターネット非経由の高速・安全なデータ同期手段。
- VPNはパブリック経由なのでコンプライアンス要件を満たせない場合がある。
- FSx for Windows File Server の災害対策構成では、FSx間同期はDataSyncが推奨。
- Transfer FamilyやFile Gatewayは用途が異なるため適用を誤らない。
- マネージドサービスを活用したセキュアで高可用性な設計を重視するのがSAP試験の特徴。
次の問題もあれば引き続きどうぞ。
以下は、AWS Certified Solutions Architect – Professional(SAP)試験の問題2に対する整理・解説です。
■問題文
ソリューションアーキテクトは、単一のアベイラビリティーゾーン内のプレイスメントグループで複数の Amazon EC2 インスタンスを起動しました。システムの負荷が増えるため、ソリューションアーキテクトは、新しいインスタンスをプレイスメントグループに追加しようとします。しかし、ソリューションアーキテクトは容量不足のエラーを受け取ります。
この問題をトラブルシューティングする最適な方法を選択してください。
■選択肢
A.
スプレッドプレイスメントグループを使用します。各アベイラビリティーゾーンに少なくとも 8 つのインスタンスを設定します。
B.
プレイスメントグループ内のすべてのインスタンスを停止および起動します。もう一度起動してみます。
C.
新しいプレイスメントグループを作成します。新しいプレイスメントグループを元のプレイスメントグループとマージします。
D.
追加のインスタンスをプレイスメントグループ内の Dedicated Host として起動します。
■問題文の要件の概要
- 単一のアベイラビリティーゾーンで プレイスメントグループを使用
- インスタンスの追加で「容量不足のエラー」発生
- トラブルシューティング方法を選択する問題
■正解の選択肢と解説
正解:B
プレイスメントグループ内のすべてのインスタンスを停止および起動します。もう一度起動してみます。
- EC2の Cluster Placement Group(密接配置戦略)では、低レイテンシ通信を目的に物理的に近接したハードウェアにインスタンスを配置します。
- そのため、後からインスタンスを追加すると十分なキャパシティが見つからないケースが多発。
- その際、すべてのインスタンスを一度停止・再起動することで、まとめて新しい十分なキャパシティのハードウェアに再配置され、エラーを回避できる可能性がある。
■不正解の選択肢の理由
A. スプレッドプレイスメントグループを使用
- スプレッドは 1つのAZ内でインスタンスを異なるハードウェアに分散配置する仕組み。
- これは冗長性・耐障害性のための手法であり、容量不足問題には無関係。
C. プレイスメントグループをマージ
- AWSではプレイスメントグループのマージ機能は存在しない。
- 物理リソースの共有もされないため、根本的な解決にならない。
D. Dedicated Host を使用
- Dedicated Hostは、特定の物理サーバーをまるごとユーザーに提供するもの。
- プレイスメントグループのキャパシティエラー解決には関係ない。
- 逆に柔軟性が下がり、管理負荷が増える。
■SAP試験で押さえておくべきポイント
- Cluster Placement Groupでは、起動順や同時起動が重要 → まとめて起動推奨
- **Capacity error(容量不足エラー)**が出たら → 既存の全インスタンス停止→再起動が定石
- スプレッド戦略は冗長化、クラスタ戦略はパフォーマンス重視
- Dedicated Hostやマージ機能は存在しないか不適切
- プレイスメントグループの使い方は、可用性設計と密接に関わる重要テーマ
ご希望があれば、この問題の解法プロセス(思考手順)や類似問題への応用も解説できます。引き続き他の問題があれば送ってください!
以下は、AWS Certified Solutions Architect – Professional(SAP)試験の問題3に対する整理・解説です。
■問題文
オンラインゲーム会社は、AWS 上のワークロードのコストを最適化する必要があります。同社は、オンラインゲームアプリケーションと分析アプリケーションの本番環境をホストするために専用アカウントを使用しています。
Amazon EC2 インスタンスはゲームアプリケーションをホストしており、常に利用できる必要があります。EC2 インスタンスは一年中実行されます。分析アプリケーションは、Amazon S3 に保存されたデータを使用します。分析アプリケーションは問題なく中断および再開できます。
これらの要件を最もコスト効率よく満たすソリューションを選択してください。
■選択肢
A.
オンラインゲームアプリケーションインスタンス用に EC2 Instance Savings Plans を購入します。分析アプリケーションにオンデマンドインスタンスを使用します。
B.
オンラインゲームアプリケーションインスタンス用に EC2 Instance Savings Plans を購入します。分析アプリケーションにスポットインスタンスを使用します。
C.
オンラインゲームアプリケーションと分析アプリケーションにスポットインスタンスを使用します。AWS Service Catalog でカタログを設定し、割引価格でサービスをプロビジョニングします。
D.
オンラインゲームアプリケーションにオンデマンドインスタンスを使用します。分析アプリケーションにスポットインスタンスを使用します。AWS Service Catalog でカタログを設定し、割引料金でサービスをプロビジョニングします。
■問題文の要件の概要
- ゲームアプリケーション:
- 常時稼働(365日)
- 可用性が極めて重要(停止不可)
- 分析アプリケーション:
- Amazon S3のデータを使用
- 中断・再開可能
- 目的:
- コスト最適化
- 安定稼働と柔軟性を両立
■正解の選択肢と解説
正解:B
オンラインゲームアプリケーションインスタンス用に EC2 Instance Savings Plans を購入します。分析アプリケーションにスポットインスタンスを使用します。
- ゲームアプリケーション:
- 常時稼働のため、Savings Plans(EC2 Instance Savings Plan)が最もコスト効率が良い。
- 最大72%の割引を享受可能で、インスタンスタイプ・OSなどが変わっても柔軟に適用。
- 分析アプリケーション:
- 中断が許容される=スポットインスタンスが最適
- スポットは最大90%割引されるため、非常にコスト効率が良い。
- S3をデータソースにする設計も、ステートレスでスポットと相性良し。
■不正解の選択肢の理由
A. 分析アプリケーションにオンデマンド使用 →✕
- 分析アプリケーションは中断可能なのに、高価なオンデマンドを使っていて非効率
C. 両方スポット + Service Catalog →✕
- ゲームアプリは常時稼働が必須 → スポットは予告なく停止される可能性があるので不適切
- Service Catalogはコスト最適化ツールではない
D. ゲームアプリにオンデマンド →✕
- 常時稼働するワークロードにオンデマンドを使うのは非効率
- Savings Plansを使えば確実にコスト削減できる
■SAP試験で押さえておくべきポイント
- 長期間、継続的に稼働するインスタンス → Savings Plans / RIが最適(Savings Plansの方が柔軟性高い)
- 中断可能なワークロード → スポットインスタンスがベスト(最大90%コスト削減)
- オンデマンドは柔軟だが最も高価。設計時はその必要性があるかを吟味すること
- AWS Service Catalogはプロビジョニング制御のためのツールであり、コスト最適化とは直接関係しない
ご希望があれば、Savings Plansのタイプ比較(EC2型 vs Compute型)や、スポットの安定運用のベストプラクティスも解説可能です!
以下は、AWS Certified Solutions Architect – Professional(SAP)試験の問題4に対する整理・解説です。
■問題文
オンライン調査会社は、AWS クラウドでアプリケーションを実行しています。このアプリケーションは分散型であり、自動的にスケーリングされる Amazon ECS クラスターで実行されるマイクロサービスで構成されています。ECS クラスターは Application Load Balancer(ALB)のターゲットです。ALB は Amazon CloudFront ディストリビューションのカスタムオリジンです。
会社には機密データを含むアンケートがあります。機密データは、アプリケーション内を移動するときに暗号化する必要があります。データ処理マイクロサービスは、データを復号化できる唯一のマイクロサービスです。
■選択肢
A.
データ処理マイクロサービス専用の対称 AWS Key Management Service (AWS KMS) キーを作成します。フィールドレベルの暗号化プロファイルと構成を作成します。KMS キーと構成を CloudFront キャッシュ動作に関連付けます。
B.
データ処理マイクロサービス専用の RSA キーペアを作成します。公開キーを CloudFront ディストリビューションにアップロードします。フィールドレベルの暗号化プロファイルと構成を作成します。CloudFront キャッシュ動作に設定を追加します。
C.
データ処理マイクロサービス専用の対称 AWS Key Management Service (AWS KMS) キーを作成します。Lambda@Edge 関数を作成します。KMS キーを使用して機密データを暗号化するように関数をプログラムします。
D.
データ処理マイクロサービス専用の RSA キーペアを作成します。Lambda@Edge 関数を作成します。RSA キーペアの秘密キーを使用して機密データを暗号化する関数をプログラムします。
■問題文の要件の概要
- アプリケーションはECS + ALB + CloudFrontで構成される
- 機密データをエンドツーエンドで暗号化したい
- 復号できるのはデータ処理マイクロサービスだけという制約あり
- CloudFront上でフィールドレベル暗号化を活用できる構成が求められる
■正解の選択肢と解説
正解:B
データ処理マイクロサービス専用の RSA キーペアを作成します。公開キーを CloudFront ディストリビューションにアップロードします。フィールドレベルの暗号化プロファイルと構成を作成します。CloudFront キャッシュ動作に設定を追加します。
✅ 理由:
- CloudFrontのフィールドレベル暗号化は**公開鍵暗号方式(RSA)**を使用します。
- CloudFrontで暗号化し、復号は特定のバックエンド(今回はマイクロサービス)でのみ実行できる構成が可能。
- 公開鍵はCloudFrontに配置 → 暗号化可能
秘密鍵はアプリケーション内の特定マイクロサービスにのみ保持 → 復号できるのはそこだけ
■不正解の選択肢の理由
A. 対称KMSキー + フィールドレベル暗号化 → ✕
- CloudFrontのフィールドレベル暗号化は非対称(RSA)鍵のみサポート
- KMSで生成される対称キーはCloudFrontのプロファイルに設定不可
C. 対称KMSキー + Lambda@Edge → ✕
- Lambda@EdgeはCloudFrontと密結合し、グローバル展開される
- KMSキーの暗号化処理をLambda@Edgeに組み込むのは非効率・高コスト・管理困難
- さらに復号ロジックがEdgeで実行されるため、唯一復号可能という要件に違反
D. 秘密鍵で暗号化(RSA)+ Lambda@Edge → ✕
- 秘密鍵で暗号化するのはRSAでは非標準かつ非安全(通常は公開鍵で暗号化)
- Lambda@Edge側で秘密鍵を保持して暗号化するのはセキュリティ上も大問題
- CloudFrontのフィールドレベル暗号化の前提と合わない
■SAP試験で押さえておくべきポイント
- CloudFrontのフィールドレベル暗号化はRSAの公開鍵を使う
- 暗号化:CloudFront(公開鍵)
- 復号:バックエンドの特定サービス(秘密鍵)
- フィールドレベル暗号化はCloudFrontディストリビューション単位で設定される
- Lambda@Edgeで機密データ処理は避けるべき(グローバルな拡散性 + セキュリティの不確実性)
- KMSは対称鍵方式。CloudFrontのフィールドレベル暗号化には使用できない
ご希望があれば、フィールドレベル暗号化の具体的な設定手順やRSAキーペアの管理方法なども解説できます!
以下に、AWS SAP試験の形式に則って問題5を整理・解説いたします。
■問題文(そのまま)
ある企業は、VM 上でホストされている約 100 万個の .csv ファイルで、オンプレミスの情報を管理しています。データは当初 10 TB で、毎週 1 TB の割合で増加します。同社は、AWS クラウドへのデータのバックアップを自動化する必要があります。
データのバックアップは毎日行う必要があります。同社は、カスタムフィルターを適用して、指定されたソースディレクトリにあるデータのサブセットのみをバックアップするソリューションを必要としています。同社は AWS Direct Connect 接続を設定しました。
運用上のオーバーヘッドを最小限に抑えてバックアップ要件を満たすソリューションを選択してください。
■選択肢
A.
マルチパートアップロードで Amazon S3 CopyObject API オペレーションを使用して、既存のデータを Amazon S3 にコピーします。CopyObject API オペレーションを使用して、毎日新しいデータを Amazon S3 にレプリケートします。
B.
AWS Backup でバックアッププランを作成し、Amazon S3 にデータをバックアップします。バックアッププランを毎日実行するようにスケジュールします。
C.
AWS DataSync エージェントを、オンプレミスのハイパーバイザー上で実行される VM としてインストールします。DataSync タスクを構成して、毎日 Amazon S3 にデータをレプリケートします。
D.
最初のバックアップに AWS Snowball Edge デバイスを使用します。AWS DataSync を使用して、毎日 Amazon S3 への増分バックアップを実行します。
■問題文の要件の概要
- オンプレミスのVMに約100万個・初期10TBのCSVファイルがある
- 週に1TBずつ増加
- 毎日バックアップが必要
- 指定ディレクトリ配下の一部ファイルのみ(カスタムフィルタ)をバックアップ
- AWS Direct Connect 環境が構築済み
- 運用オーバーヘッドを最小限にしたい
■正解の選択肢と解説
✅ C. AWS DataSync エージェントを、オンプレミスのハイパーバイザー上で実行される VM としてインストールします。DataSync タスクを構成して、毎日 Amazon S3 にデータをレプリケートします。
理由:
AWS DataSync は、オンプレミスとAWS間で大量データを自動・効率的・差分転送できるサービスです。
- VM形式のDataSyncエージェントをオンプレミスにデプロイできる
- 日次スケジュールでS3に転送可能
- カスタムフィルター(ファイルパスや拡張子)によるサブセット転送が可能
- Direct Connect と併用することで高速・安定転送も可能
- マネージドサービスのため運用負荷も少ない
■不正解の選択肢の理由
❌ A. CopyObject API を使って手動でアップロード
- CopyObject API は既にS3内にあるオブジェクトのコピーに使うもの
- オンプレミス→S3 への転送では不適切
- カスタムフィルタなども自力で実装が必要で運用コストが高い
❌ B. AWS Backup を使って S3 にバックアップ
- AWS Backup は主に AWSリソースのバックアップ(EBS, RDSなど)向け
- オンプレミスファイルを直接扱えない
- S3がバックアップ対象となるのは一部で、今回の要件には合わない
❌ D. Snowball Edge + DataSync
- Snowballは**初期移行用(オフライン転送)**に向いているが、日次運用には不向き
- 本問では Direct Connect がすでにあるので Snowball の利点がない
- オーバーヘッド(デバイスの管理・受け渡し等)が要件と矛盾
■SAP試験で押さえておくべきポイント
- ✅ AWS DataSync は「オンプレミス ⇄ AWS」の大規模データの定期転送・差分転送に最適。
- ✅ DataSync はカスタムフィルタ指定(パス・ファイル名・拡張子)可能
- ✅ Direct Connect があれば、DataSync との組み合わせで高速で安定した転送が可能
- ❌ AWS Backup は基本的に AWS内のリソースのスナップショット管理用であり、オンプレミス対応には制限がある
- ❌ Snowball は「一度きりの大規模転送」に向いており、日次や頻繁な更新には向かない
次の問題もあれば、同様の形式で解説しますのでお送りください。
以下は、問題6のAWS SAP試験形式での整理・解説です。
■問題文(編集なし)
ある企業は複数の AWS アカウントを使用しており、複数の DevOps チームがこれらのアカウントで本番ワークロードと開発ワークロードを実行しています。同社は、DevOps チームが使用しない AWS サービスの一部へのアクセスを一元的に制限したいと考えています。同社は AWS Organizations を使用することを決定し、すべての AWS アカウントを組織に招待することに成功しました。現在使用中のサービスへのアクセスを許可し、いくつかの特定のサービスを拒否したいと考えています。また、複数のアカウントを 1 つのユニットとしてまとめて管理したいと考えています。
これらの要件を満たす最適な手順の組み合わせを選択してください。(3 つ選択)
■選択肢(編集なし)
A. 拒否リスト戦略を使用します。
B. AWS IAM のアクセスアドバイザーを確認して、最近使用したサービスを確認します。
C. AWS Trusted Advisor レポートを確認して、最近使用されたサービスを確認します。
D. デフォルトの FullAWSAccess SCP を削除します。
E. 組織単位 (OU) を定義し、OU にメンバーアカウントを配置します。
F. デフォルトの DenyAWSAccess SCP を削除します。
■問題文の要件の概要
- 複数アカウントの一元管理
- 一部サービスへのアクセスを拒否
- 現在使用中のサービスへのアクセスは維持
- AWS Organizations を活用
- OU(組織単位)での管理が望ましい
■正解の選択肢と解説
✅ A. 拒否リスト戦略を使用します。
→ SCP(Service Control Policy)で特定のサービスを明示的に拒否することで、不要なサービスをブロックできます。拒否リスト戦略は、すべてを許可した上で不要なサービスだけを個別に拒否するため、メンテナンスが比較的簡単です。
✅ B. AWS IAM のアクセスアドバイザーを確認して、最近使用したサービスを確認します。
→ Access Advisorを使えば、どのサービスが実際に使用されたかを確認できます。これにより、不要なサービスの見極めができ、正確なSCP作成が可能になります。
✅ E. 組織単位 (OU) を定義し、OU にメンバーアカウントを配置します。
→ OUを活用することで、複数アカウントに対して同一ポリシー(SCP)を一括適用でき、管理効率が大幅に向上します。
■不正解の選択肢の理由
❌ C. AWS Trusted Advisor レポートを確認して、最近使用されたサービスを確認します。
→ Trusted Advisorはコスト最適化やセキュリティベストプラクティスを提供しますが、「使用されたサービスの確認」には不向きです。サービス利用状況を確認するにはIAM Access Advisorを使用すべきです。
❌ D. デフォルトの FullAWSAccess SCP を削除します。
→ FullAWSAccessは全アクセスを許可するSCPで、削除するとアカウントが全く操作できなくなる恐れがあります。SCPで制限するには、FullAWSAccessを残した上で明示的なDenyポリシーを追加するのが基本です。
❌ F. デフォルトの DenyAWSAccess SCP を削除します。
→ AWSにはDenyAWSAccessというデフォルトSCPは存在しません。よって、削除対象として想定すること自体が誤りです。
■SAP試験で押さえておくべきポイント
- ✅ SCP(Service Control Policies) は組織単位(OU)に対してアクセス制御を一括適用できる
- ✅ 拒否リスト戦略 は「明示的に拒否したいサービスのみをSCPで定義」する手法で、許可リスト戦略より管理がしやすい
- ✅ IAM Access Advisor はロールやユーザーが実際に使用したサービスの確認に使える。SCP設計に活用可能
- ✅ OU(組織単位)を定義してグルーピングし、OU単位でポリシーを適用すると一元管理しやすい
- ❌ Trusted Advisor は使用状況の監査には使えない
- ❌ FullAWSAccessを削除しない。むしろ残した上でDenyポリシーを重ねる
次の問題もございましたら、引き続き同様の形式で整理いたしますので、お気軽に送ってください。
失礼いたしました。以下にご希望の形式で、問題7を整理して出力いたします。
■ 問題文(※文字列を編集せずに出力)
ある調査会社は、高い需要に応えるために AWS クラウドで毎日のシミュレーションを実行しています。シミュレーションは、Amazon Linux 2 をベースにした数百台の Amazon EC2 インスタンスで実行されています。時折、シミュレーションがスタックし、クラウド運用エンジニアが SSH で EC2 インスタンスに接続して問題を解決する必要があります。
会社のポリシーでは、EC2 インスタンスは同じ SSH キーを使用できず、すべての接続を AWS CloudTrail に記録する必要があると規定されています。
これらの要件を満たす最適な方法を選択してください。
■ 選択肢(※正解がわからないようそのまま掲載)
A.
新しい EC2 インスタンスを起動し、インスタンスごとに個別の SSH キーを生成します。SSH キーを AWS Secrets Manager に保存します。新しい IAM ポリシーを作成し、GetSecretValue アクションの Allow ステートメントを持つエンジニアの IAM ロールにアタッチします。SSH クライアント経由で接続するときに、Secrets Manager から SSH キーを取得するようにエンジニアに指示します。
B.
AWS Systems Manager ドキュメントを作成して、EC2 インスタンスでコマンドを実行し、新しい一意の SSH キーを設定します。新しい IAM ポリシーを作成し、Systems Manager ドキュメントを実行するための許可ステートメントを使用してエンジニアの IAM ロールにアタッチします。エンジニアに、ドキュメントを実行して SSH キーを設定し、任意の SSH クライアントから接続するように指示します。
C.
インスタンスに SSH キーを設定せずに、新しい EC2 インスタンスを起動します。各インスタンスに EC2 Instance Connect を設定します。新しい IAM ポリシーを作成し、SendSSHPublicKey アクションの Allow ステートメントを使用してエンジニアの IAM ロールにアタッチします。EC2 コンソールからブラウザベースの SSH クライアントを使用してインスタンスに接続するよう、エンジニアに指示します。
D.
AWS Secrets Manager を設定して、EC2 の SSH キーを保存します。新しい AWS Lambda 関数を作成して、新しい SSH キーを作成し、AWS Systems Manager Session Manager を呼び出して、EC2 インスタンスに SSH キーを設定します。Secrets Manager を設定して、Lambda 関数を毎日 1 回自動ローテーションに使用するようにします。SSH クライアント経由で接続するときに、Secrets Manager から SSH キーを取得するようにエンジニアに指示します。
■ 問題文の要件の概要
- 毎日 EC2 上で大規模シミュレーションを実行している。
- エンジニアが時折 SSH 接続して問題を調査。
- 以下の セキュリティポリシー に準拠する必要あり:
- EC2 インスタンスごとに同じ SSH キーを使用不可。
- 接続ログは AWS CloudTrail に記録される必要がある。
■ 正解の選択肢と解説
正解:C
EC2 Instance Connect を使用すると、SSH キーをインスタンスに事前に保存する必要がないため、毎回一意の接続が可能です。
IAM ポリシーでSendSSHPublicKeyを許可すれば、ユーザー単位で接続制御が可能です。
また、接続操作は CloudTrail に記録されるため、監査要件も満たせます。
- セキュリティ的にも、鍵を配布・管理せずにアクセス制御できるためベストプラクティスです。
■ 不正解の選択肢の理由
A.
- SSH 鍵の Secrets Manager での管理は一見安全に見えますが、インスタンスごとのキー生成・保存・取得の手間が非効率で、スケールしません。
- 鍵を取得する操作や SSH 接続自体は CloudTrail に完全には記録されない可能性があります。
B.
- Systems Manager ドキュメントで毎回 SSH キーを設定する運用は、実装・運用が煩雑。
- 手動オペレーションが多くなり、ヒューマンエラーの可能性も高まる。
D.
- Lambda + Session Manager + Secrets Manager を組み合わせた構成は過剰で、シンプルさ・保守性に欠ける。
- 問題の要件に対して過剰設計かつ非効率。
■ SAP試験で押さえておくべきポイント
- EC2 Instance Connect は、SSH キーの事前共有が不要で、IAM でアクセス制御可能。CloudTrail に記録される接続ログに対応。
- セキュリティとスケーラビリティを両立したアクセス方法を選ぶ。
- Secrets Manager や SSM(Session Manager)なども使い分けが必要。過剰な構成は非効率になることがある。
他の問題もこの形式でまとめてほしい場合は、続けてHTMLを貼ってください。
