以下、ご要望のフォーマットに沿って整理いたしました。
■ 問題文(原文そのまま)
あるソリューションアーキテクトが、Amazon S3 バケットにオブジェクトを保存するアプリケーションを作成しています。ソリューションアーキテクトは、同時に使用される 2 つの AWS リージョンにアプリケーションをデプロイする必要があります。2 つの S3 バケット内のオブジェクトは、相互に同期された状態を維持する必要があります。また以下の前提条件があります。
・オーバーヘッドを最小限にしたい
・データの整合性が必要
・データの冗長性と高可用性も確保する必要がある
運用上のオーバーヘッドが最も少なく、これらの要件と前提条件を満たす手順の組み合わせを選択してください。(3 つ選択)
■ 選択肢(順序そのまま・正解は伏せています)
- A. 各 S3 バケットの S3 バージョニングを有効にします。
- B. 2 つの S3 バケット間で双方向の S3 クロスリージョンレプリケーション (CRR) を構成します。
- C. 各 S3 バケットにイベント通知を設定し、AWS Lambda 関数を呼び出して、一方の S3 バケットからもう一方の S3 バケットにオブジェクトをコピーします。
- D. S3 マルチリージョンアクセスポイントを作成し、マルチリージョンアクセスポイントを参照するようにアプリケーションを変更します。
- E. S3 バケットごとに S3 ライフサイクルルールを作成し、ある S3 バケットから別の S3 バケットにオブジェクトをコピーします。
- F. 各 S3 バケットにオブジェクトを保存するようにアプリケーションを変更します。
■ 問題文の要件の概要
複数リージョンでのアプリケーション可用性を確保しつつ、S3バケット間のオブジェクトを自動的に同期し、運用オーバーヘッドを最小限に抑え、整合性と冗長性も確保するソリューションを問う問題。
■ 正解の選択肢と解説
正解:A、B、D
- A. バージョニングの有効化
→ S3 クロスリージョンレプリケーション(CRR)の前提条件であり、すべてのバージョンのオブジェクトが保存され、意図しない削除や上書きへの耐性を持つ。 - B. 双方向の CRR の構成
→ 双方向にレプリケーションを構成することで、どちらのリージョンでも更新が可能となり、データの整合性・冗長性を両立できる。 - D. マルチリージョンアクセスポイントの使用
→ 単一のグローバルエンドポイントで最適なリージョンのバケットにルーティングできるため、透過的なアクセスとフェイルオーバーが実現され、アプリケーションの実装負荷が軽減される。
■ 不正解の選択肢の理由
- C:イベント通知 + Lambda による同期は実現可能だが、運用負荷が高く、整合性の保証が難しいため非推奨。
- E:ライフサイクルルールはレプリケーションではなくオブジェクトのアーカイブや削除が目的。同期用途に適さない。
- F:アプリケーション側でバケットを使い分けると、手動で整合性管理が必要になり、運用オーバーヘッドが増加。
■ SAP試験で押さえておくべきポイント
- S3 クロスリージョンレプリケーション (CRR) を使う際は、バージョニングが必須。
- CRRは片方向がデフォルトであり、双方向同期には2つの設定が必要。
- S3 マルチリージョンアクセスポイントは、リージョンを透過的に扱うことでアプリケーション側の実装負荷を軽減できる。
- SAP試験では「高可用性と整合性、オーバーヘッドのバランス」というキーワードに注目すること。
次の問題も同様に整理しますので、引き続きHTMLを送ってください。
以下、指定のフォーマットに従って整理しました。
■ 問題文
ある企業は、オンプレミスのデータセンターと AWS クラウドのサーバーを含むハイブリッド環境を構築しています。同社は、3 つの VPC に Amazon EC2 インスタンスをデプロイしています。各 VPC は異なる AWS リージョンにあります。同社は、データセンターに最も近いリージョンからデータセンターへの AWS Direct Connect 接続を確立しました。
オンプレミスのデータセンターにあるサーバーは、3 つの VPC すべてにある EC2 インスタンスにアクセスできる必要があります。オンプレミスのデータセンターのサーバーも AWS パブリックサービスにアクセスできる必要があります。
これらの要件を最小限のコストで満たす手順の組み合わせを選択してください。(2 つ選択)
■ 選択肢
- A. オンプレミスのデータセンターから他の 2 つのリージョンへの追加の Direct Connect 接続を設定します。
- B. データセンターに最も近いリージョンに Direct Connect ゲートウェイを作成します。Direct Connect 接続をアタッチします。Direct Connect ゲートウェイを使用して、他の 2 つのリージョンの VPC に接続します。
- C. パブリック VIF を作成します。パブリック VIF を介して、他の 2 つのリージョンの VPC への AWS Site-to-Site VPN 接続を確立します。
- D. プライベート VIF を作成します。プライベート VIF を介して、他の 2 つのリージョンの VPC への AWS Site-to-Site VPN 接続を確立します。
- E. VPC ピアリングを使用して、リージョン全体の VPC 間の接続を確立します。既存の Direct Connect 接続を使用してプライベート VIF を作成し、ピアリングされた VPC に接続します。
■ 問題文の要件の概要
- オンプレミス ⇔ 全リージョンの VPC へのアクセスを確保
- AWS パブリックサービスへのアクセスも必要
- コストを最小限に抑えたい
■ 正解の選択肢と解説
正解:B, C
- B. Direct Connect ゲートウェイの活用
→ Direct Connect Gateway を使えば、1つの物理的な Direct Connect 接続から複数リージョンの VPC に接続可能。これにより、追加の専用回線不要でコスト削減が可能。 - C. パブリック VIF の作成
→ パブリック VIF を通じて AWS パブリックサービス(例:S3, DynamoDBなど)へアクセス可能。また、パブリック VIF を介して Site-to-Site VPN を他リージョンの VPC に構成することも可能で、これにより柔軟な接続性が得られる。
■ 不正解の選択肢の理由
- A:他のリージョンごとに Direct Connect 接続を追加するのは非常に高コストで、”最小限のコスト”という要件を満たさない。
- D:プライベート VIF は基本的に 1 VPC 対応であり、パブリックサービスにアクセスできず、Site-to-Site VPN の構成にも不適。
- E:リージョン間の VPC ピアリングは設定やルート管理が煩雑になり、コストメリットやスケーラビリティに欠けるため不適切。
■ SAP試験で押さえておくべきポイント
- Direct Connect Gateway を使えば、単一の物理接続で複数リージョンの VPC にアクセス可能
- パブリック VIF によって、オンプレから AWSパブリックサービス(S3/DynamoDBなど)へ直接アクセス可能
- コスト最適化・高可用性・運用簡素化を求められる設問では、専用線の追加ではなく論理的な共有(Gateway/VIF)の活用を検討
- Direct Connect 構成では、プライベートVIFとパブリックVIFの違い(VPCアクセスとパブリックサービスアクセス) を明確に区別する必要あり
次の問題もあれば、引き続き分析いたします。
以下に、問題3の内容を指定フォーマットで整理しました。
■ 問題文
ある企業は、AWS クラウドでのマルチアカウント設定に AWS Organizations を使用しています。同社は、ガバナンスのために AWS Control Tower を使用し、アカウント間の VPC 接続のために AWS Transit Gateway を使用しています。
AWS アプリケーションアカウントでは、同社のアプリケーションチームは、AWS Lambda と Amazon RDS を使用するウェブアプリケーションをデプロイしています。会社のデータベース管理者は、別の DBA アカウントを持っており、組織全体のすべてのデータベースを集中管理するためにそのアカウントを使用しています。データベース管理者は、DBA アカウントにデプロイされた Amazon EC2 インスタンスを使用して、アプリケーションアカウントにデプロイされた RDS データベースにアクセスします。
アプリケーションチームは、データベースの認証情報を AWS Secrets Manager のシークレットとしてアプリケーションアカウントに保存しています。アプリケーションチームは、データベース管理者とシークレットを手動で共有しています。シークレットは、アプリケーションアカウントの Secrets Manager のデフォルトの AWS マネージドキーによって暗号化されます。ソリューションアーキテクトは、データベース管理者にデータベースへのアクセスを提供し、シークレットを手動で共有する必要をなくすソリューションを実装する必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢
- A. アプリケーションアカウントに、DBA-Secret という名前の IAM ロールを作成します。このロールに、シークレットへのアクセスに必要な権限を付与します。DBA アカウントで、DBA-Admin という名前の IAM ロールを作成します。DBA-Admin ロールに、アプリケーションアカウントの DBA-Secret ロールを引き受けるために必要な権限を付与します。DBA-Admin ロールを EC2 インスタンスにアタッチし、クロスアカウントのシークレットにアクセスできるようにします。
- B. DBA アカウントで、DBA-Admin という名前の IAM ロールを作成します。このロールに、アプリケーションアカウントのシークレットとデフォルトの AWS マネージドキーにアクセスするために必要な権限を付与します。アプリケーションアカウントで、リソースベースのポリシーをキーにアタッチして、DBA アカウントからのアクセスを許可します。DBA-Admin ロールを EC2 インスタンスにアタッチし、クロスアカウントのシークレットにアクセスできるようにします。
- C. AWS Resource Access Manager (AWS RAM) を使用して、アプリケーションアカウントから DBA アカウントにシークレットを共有します。DBA アカウントで、DBA-Admin という名前の IAM ロールを作成します。このロールに、共有シークレットにアクセスするために必要な権限を付与します。DBA-Admin ロールを EC2 インスタンスにアタッチして、クロスアカウントのシークレットにアクセスできるようにします。
- D. DBA アカウントで、DBA-Admin という名前の IAM ロールを作成します。このロールに、アプリケーションアカウントのシークレットにアクセスするために必要な権限を付与します。アプリケーションアカウントに SCP をアタッチして、DBA アカウントからシークレットへのアクセスを許可します。DBA-Admin ロールを EC2 インスタンスにアタッチして、クロスアカウントのシークレットにアクセスできるようにします。
■ 問題文の要件の概要
- 複数アカウント構成で、Secrets Manager のシークレット(DB認証情報)を安全にクロスアカウント共有したい。
- 現在は手動共有しているが、これを廃止して自動・安全にアクセス可能な構成にしたい。
■ 正解の選択肢と解説
正解:A
IAMロールを活用したクロスアカウントアクセスを使うことで、シークレットの安全な共有が可能になります。
- アプリケーションアカウントに
DBA-Secretロールを作成し、Secrets Manager の読み取り権限を付与。 - DBA アカウント側で
DBA-Adminロールを作成し、信頼ポリシーによりDBA-Secretロールを引き受け可能に。 - EC2 インスタンスに
DBA-Adminをアタッチし、AssumeRole によりシークレットにアクセス。
これにより、安全なアクセスが実現され、手動共有が不要になります。
■ 不正解の選択肢の理由
- B: デフォルトの AWS マネージドキー (aws/secretsmanager) はカスタマイズできないため、リソースベースポリシーでアクセス制御はできません。
- C: AWS RAM は Secrets Manager のリソース共有には対応していません(VPC、TGW などのみ)。
- D: SCP はサービスレベルの制限ポリシーであり、個別リソースへのアクセス許可を与える用途ではないため、目的に合いません。
■ SAP試験で押さえておくべきポイント
- IAMクロスアカウントロールによる権限委譲と信頼関係の構成は頻出。AssumeRoleと信頼ポリシーの両方が必要。
- **Secrets Managerの暗号化キーの種類(デフォルト vs カスタマー管理キー)**の違いを理解。デフォルトキーではKMSポリシー制御できない。
- AWS RAMの対象リソースは限られている(Secrets Manager や IAM は対象外)。
- **SCP(Service Control Policy)**はアカウント全体に適用されるガードレールであり、リソース単位のアクセス制御には使えない。
次の問題も続けてどうぞ。必要があれば復習用まとめ形式にも対応可能です。
以下に、問題4の内容を指定フォーマットで整理しました。
■ 問題文
ある企業には、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター内の複数のポッドの ReplicaSet として実行されるアプリケーションがあります。EKS クラスターには、複数のアベイラビリティーゾーンにノードがあります。アプリケーションは、アプリケーションのすべての実行中のインスタンス間でアクセス可能でなければならない多くの小さなファイルを生成します。同社はファイルをバックアップし、バックアップを 1 年間保持する必要があります。
これらの要件を満たしながら最速のストレージパフォーマンスを提供できるソリューションを選択してください。
■ 選択肢
- A. Amazon Elastic Block Store (Amazon EBS) ボリュームを作成します。EBS マルチアタッチ機能を有効にします。EBS ボリュームをマウントするように ReplicaSet を構成します。EBS ボリュームにファイルを保存するようにアプリケーションを設定します。AWS Backup を構成して、データのコピーを 1 年間バックアップして保持します。
- B. Amazon S3 バケットを作成します。S3 バケットをマウントするように ReplicaSet を構成します。S3 バケットにファイルを保存するようにアプリケーションを設定します。S3 バージョニングを構成して、データのコピーを保持します。S3 ライフサイクルポリシーを構成して、1 年後にオブジェクトを削除します。
- C. 実行中の各アプリケーションポッドで利用可能なストレージを使用して、ローカルにファイルを保存するように ReplicaSet を構成します。サードパーティ製のツールを使用して、EKS クラスターを 1 年間バックアップします。
- D. Amazon Elastic File System (Amazon EFS) ファイルシステムを作成し、EKS クラスターのノードを含む各サブネットにマウントターゲットを作成します。ファイルシステムをマウントするように ReplicaSet を構成します。ファイルシステムにファイルを保存するようにアプリケーションを設定します。AWS Backup を構成して、データのコピーを 1 年間バックアップして保持します。
■ 問題文の要件の概要
- EKSで動作するReplicaSetベースのアプリケーションが、多数の小さなファイルを生成する
- すべてのポッド間で共有アクセスが必要
- ストレージは高速パフォーマンスを提供すること
- バックアップは1年間保持する必要がある
■ 正解の選択肢と解説
正解:D
Amazon Elastic File System (EFS) は、複数AZにまたがる共有ファイルシステムを提供し、EKSクラスタ上のポッドが複数ノードにまたがっていても、同一のストレージにNFSベースで同時アクセスできます。
- マルチAZ対応・高可用性・共有ファイルアクセスを実現可能
- 小さなファイルの同時読み書きに最適で、EBSよりも複数ポッドでの共有に強い
- AWS Backup でEFSのスナップショットを取り、1年間保持設定も可能
■ 不正解の選択肢の理由
- A:
EBSはEC2にローカルに接続されるボリュームで、複数AZにまたがるポッドでは利用不可。マルチアタッチも制限があり、ファイルロックなどの問題でポッド間共有には向かない。 - B:
S3はオブジェクトストレージであり、POSIX互換ファイルアクセスやNFSとしての利用は非推奨。高速なファイル操作やファイルシステム的利用には不向き。 - C:
各ポッドのローカルストレージはEKSでの再スケジュール時に失われる可能性があるため、永続化できず信頼性が低い。サードパーティ製ツールも冗長。
■ SAP試験で押さえておくべきポイント
- Amazon EFS は複数インスタンスやポッドでの共有ファイルアクセスに最適なソリューション。EBSとの違いを明確に。
- EBSはAZをまたげず、マルチアタッチも制約が多いためReplicaSetには不向き。
- S3はオブジェクトストレージであり、ファイル共有用途では使わない。
- AWS Backup によるEFSのスナップショット取得・保持の設定は本試験でも頻出。
- Kubernetes環境でのストレージ選定(EFS CSIドライバなど)も実務でも出題でも問われる。
次の問題も準備ができたらお送りください。続きを一緒に進めましょう。
以下に、問題4の内容を指定フォーマットで整理しました。
■ 問題文
ある企業には、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター内の複数のポッドの ReplicaSet として実行されるアプリケーションがあります。EKS クラスターには、複数のアベイラビリティーゾーンにノードがあります。アプリケーションは、アプリケーションのすべての実行中のインスタンス間でアクセス可能でなければならない多くの小さなファイルを生成します。同社はファイルをバックアップし、バックアップを 1 年間保持する必要があります。
これらの要件を満たしながら最速のストレージパフォーマンスを提供できるソリューションを選択してください。
■ 選択肢
- A. Amazon Elastic Block Store (Amazon EBS) ボリュームを作成します。EBS マルチアタッチ機能を有効にします。EBS ボリュームをマウントするように ReplicaSet を構成します。EBS ボリュームにファイルを保存するようにアプリケーションを設定します。AWS Backup を構成して、データのコピーを 1 年間バックアップして保持します。
- B. Amazon S3 バケットを作成します。S3 バケットをマウントするように ReplicaSet を構成します。S3 バケットにファイルを保存するようにアプリケーションを設定します。S3 バージョニングを構成して、データのコピーを保持します。S3 ライフサイクルポリシーを構成して、1 年後にオブジェクトを削除します。
- C. 実行中の各アプリケーションポッドで利用可能なストレージを使用して、ローカルにファイルを保存するように ReplicaSet を構成します。サードパーティ製のツールを使用して、EKS クラスターを 1 年間バックアップします。
- D. Amazon Elastic File System (Amazon EFS) ファイルシステムを作成し、EKS クラスターのノードを含む各サブネットにマウントターゲットを作成します。ファイルシステムをマウントするように ReplicaSet を構成します。ファイルシステムにファイルを保存するようにアプリケーションを設定します。AWS Backup を構成して、データのコピーを 1 年間バックアップして保持します。
■ 問題文の要件の概要
- EKSで動作するReplicaSetベースのアプリケーションが、多数の小さなファイルを生成する
- すべてのポッド間で共有アクセスが必要
- ストレージは高速パフォーマンスを提供すること
- バックアップは1年間保持する必要がある
■ 正解の選択肢と解説
正解:D
Amazon Elastic File System (EFS) は、複数AZにまたがる共有ファイルシステムを提供し、EKSクラスタ上のポッドが複数ノードにまたがっていても、同一のストレージにNFSベースで同時アクセスできます。
- マルチAZ対応・高可用性・共有ファイルアクセスを実現可能
- 小さなファイルの同時読み書きに最適で、EBSよりも複数ポッドでの共有に強い
- AWS Backup でEFSのスナップショットを取り、1年間保持設定も可能
■ 不正解の選択肢の理由
- A:
EBSはEC2にローカルに接続されるボリュームで、複数AZにまたがるポッドでは利用不可。マルチアタッチも制限があり、ファイルロックなどの問題でポッド間共有には向かない。 - B:
S3はオブジェクトストレージであり、POSIX互換ファイルアクセスやNFSとしての利用は非推奨。高速なファイル操作やファイルシステム的利用には不向き。 - C:
各ポッドのローカルストレージはEKSでの再スケジュール時に失われる可能性があるため、永続化できず信頼性が低い。サードパーティ製ツールも冗長。
■ SAP試験で押さえておくべきポイント
- Amazon EFS は複数インスタンスやポッドでの共有ファイルアクセスに最適なソリューション。EBSとの違いを明確に。
- EBSはAZをまたげず、マルチアタッチも制約が多いためReplicaSetには不向き。
- S3はオブジェクトストレージであり、ファイル共有用途では使わない。
- AWS Backup によるEFSのスナップショット取得・保持の設定は本試験でも頻出。
- Kubernetes環境でのストレージ選定(EFS CSIドライバなど)も実務でも出題でも問われる。
次の問題も準備ができたらお送りください。続きを一緒に進めましょう。
以下に、問題5の内容を指定フォーマットで整理しました。
■ 問題文
ある企業が、複数の AWS アカウントにわたって AWS WAF ルールを管理するために、AWS WAF ソリューションを導入したいと考えています。アカウントは、AWS Organizations の異なる OU で管理されます。
管理者は、必要に応じて、管理対象の AWS WAF ルールセットに対してアカウントまたは OU を追加または削除できる必要があります。また、管理者は、すべてのアカウントで非準拠の AWS WAF ルールを自動的に更新し、修正できる必要もあります。
運用上のオーバーヘッドを最小限に抑えながら、これらの要件を満たすソリューションを選択してください。
■ 選択肢
- A. AWS Firewall Manager を使用して、組織内のアカウント全体の AWS WAF ルールを管理します。AWS Systems Manager Parameter Store パラメータを使用して、管理するアカウント番号と OU を保存します。必要に応じてパラメータを更新し、アカウントや OU を追加または削除します。Amazon EventBridge ルールを使用して、パラメータへの変更を識別し、AWS Lambda 関数を呼び出して Firewall Manager 管理アカウントのセキュリティポリシーを更新します。
- B. 組織の管理アカウントに AWS WAF ルールを作成します。AWS Lambda 環境変数を使用して、管理するアカウント番号と OU を保存します。必要に応じて環境変数を更新し、アカウントや OU を追加または削除します。メンバーアカウントにクロスアカウント IAM ロールを作成します。Lambda 関数で AWS Security Token Service (AWS STS) を使用してロールを引き受け、メンバーアカウントで AWS WAF ルールを作成および更新します。
- C. 選択した OU 内のすべてのリソースが AWS WAF ルールを関連付けることを要求する組織全体の AWS Config ルールをデプロイします。AWS Lambda を使用して自動修復アクションをデプロイし、非準拠のリソースを修正します。AWS Config ルールが適用されるのと同じ OU をターゲットとする AWS CloudFormation StackSets を使用して、AWS WAF ルールをデプロイします。
- D. AWS Control Tower を使用して、組織内のアカウント全体の AWS WAF ルールを管理します。AWS Key Management Service (AWS KMS) を使用して、管理するアカウント番号と OU を保存します。必要に応じて AWS KMS を更新し、アカウントまたは OU を追加または削除します。メンバーアカウントに IAM ユーザーを作成します。管理アカウントの AWS Control Tower がアクセスキーとシークレットアクセスキーを使用して、メンバーアカウントの AWS WAF ルールを作成および更新できるようにします。
■ 問題文の要件の概要
- AWS Organizations配下の複数OU・アカウントに対して
- WAFルールを一元管理したい
- OUやアカウントの追加・削除を容易に行いたい
- 非準拠ルールの自動修正を実現したい
- 運用のオーバーヘッドを最小限にしたい
■ 正解の選択肢と解説
正解:A
- AWS Firewall Manager は、Organizations配下の全アカウント・OUにまたがる WAF ルールの一元管理が可能。
- Parameter Store にアカウントやOUの情報を格納し、EventBridge + Lambda で変更を検知してセキュリティポリシーを自動更新する構成により、追加削除も自動化できる。
- これにより、「一元管理」「OU追加削除」「自動修正」「低オーバーヘッド」のすべてを満たすベストプラクティス構成。
■ 不正解の選択肢の理由
- B:
環境変数ベースの管理や STS を使った各アカウントへの個別アクセスは管理負荷が高く、スケーラビリティが低い。OUの構造変更にも柔軟に対応できない。 - C:
AWS Config + Lambda による修復機構は部分的には有効だが、Configルールは監査が主目的であり、WAFルール自体の一元管理や自動配布には向いていない。 - D:
AWS Control Tower はアカウントのプロビジョニングやガードレール設定には適しているが、WAFルールの配布には不適。KMSは設定管理用途ではなく暗号化用途なので、ここでの利用はミスマッチ。
■ SAP試験で押さえておくべきポイント
- AWS Firewall Manager は WAF, Shield, Security Group等のセキュリティ制御をOrganizations全体にポリシーとして展開・自動適用できるサービス
- Parameter Store + EventBridge + Lambda での動的ポリシー管理の自動化は、現場でも有効な設計パターン
- AWS Control Tower や AWS Config のユースケースの違いを明確に区別する必要あり(ガバナンス vs. モニタリング)
- SAP試験では「一元管理・自動化・スケーラビリティ」を求める問題が多く、運用効率とセキュリティを天秤にかけて最適解を導くスキルが問われる
次の問題があれば、引き続きお送りください。丁寧に整理してお返しします。
以下に、AWS Certified Solutions Architect – Professional(SAP)問題6の出力をご指示通りの形式でまとめました。
■ 問題文(編集せずにそのまま出力)
ある通信会社が AWS 上でアプリケーションを運用しています。同社は、オンプレミスのデータセンターと AWS の間に AWS Direct Connect 接続を設定しました。同社は、内部の Application Load Balancer (ALB) の背後にある複数のアベイラビリティーゾーンにある Amazon EC2 インスタンスにアプリケーションをデプロイしました。会社のクライアントは、HTTPS を使用してオンプレミスネットワークから接続します。TLS は ALB で終端します。同社には複数のターゲットグループがあり、URL パスに基づいてリクエストを転送するパスベースのルーティングを使用しています。
同社は、IP アドレスに基づく許可リストを備えたオンプレミスのファイアウォールアプライアンスを導入することを計画しています。ソリューションアーキテクトは、クライアントがアプリケーションへのアクセスを継続できるように、オンプレミスのネットワークから AWS へのトラフィックフローを許可するソリューションを開発する必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(編集せずにそのまま出力)
- A. Gateway Load Balancer (GWLB) を作成します。複数のアベイラビリティーゾーンの GWLB に静的 IP アドレスを割り当てます。GWLB 用に ALB タイプのターゲットグループを作成し、既存の ALB を追加します。ファイアウォールアプライアンスに GWLB の IP アドレスを追加します。GWLB に接続するようにクライアントを更新します。
- B. Network Load Balancer (NLB) を作成します。NLB を複数のアベイラビリティーゾーンで 1 つの静的 IP アドレスに関連付けます。NLB 用に ALB タイプのターゲットグループを作成し、既存の ALB を追加します。ファイアウォールアプライアンスに NLB の IP アドレスを追加します。NLB に接続するようにクライアントを更新します。
- C. Network Load Balancer (NLB) を作成します。NLB を複数のアベイラビリティーゾーンで 1 つの静的 IP アドレスに関連付けます。既存のターゲットグループを NLB に追加します。NLB に接続するようにクライアントを更新します。ALB を削除します。ファイアウォールアプライアンスに NLB の IP アドレスを追加します。
- D. 静的 IP アドレスを使用するように既存の ALB を構成します。複数のアベイラビリティーゾーンの IP アドレスを ALB に割り当てます。ALB の IP アドレスをファイアウォールアプライアンスに追加します。
■ 問題文の要件の概要
- ALB を使って HTTPS 終端とパスベースルーティングを行っている
- オンプレミスファイアウォールで IP アドレスベースの許可リストを設定したい
- 静的な IP アドレスで ALB にアクセスできるようにしたい
■ 正解の選択肢と解説
正解:B. Network Load Balancer (NLB) を使用して静的 IP を付与し、ALB をターゲットに追加する
- 理由:
- ALB では静的 IP を直接付与できないため、IP アドレスベースのアクセス制御を求めるオンプレミス環境には不向き。
- NLB は各 AZ に 静的 IP を割り当てられるため、ファイアウォールに登録可能。
- ALB を NLB のターゲットに設定すれば、既存のパスベースルーティングや TLS 終端を維持したまま、NLB の静的 IP を経由してアクセスできる。
■ 不正解の選択肢の理由
- A(GWLB を使う):
- GWLB は主に 仮想ファイアウォールやパケットインスペクション 用。ALB をターゲットにすることはできない。
- クライアントが GWLB 経由でアプリにアクセスする構成は現実的でない。
- C(ALB を削除して NLB に直接続):
- ALB 特有のパスベースルーティングや TLS 終端などの機能が使えなくなるため要件に合わない。
- D(ALB に静的 IP 割当):
- ALB は動的 IP を使用しており、直接静的 IP を割り当てることはできない。
■ SAP試験で押さえておくべきポイント
- ALB は Layer 7(アプリ層)で、パスベースルーティングや TLS 終端に使う
- NLB は Layer 4(トランスポート層)で、静的 IP 割当が可能
- NLB を ALB の前段に置くことで、ALB の機能を維持しつつ静的 IP を提供できる
- ALB 単体での静的 IP 利用は不可、NLB 経由がベストプラクティス
次の問題も同様の形式で整理しますので、引き続き送ってください。
以下に、AWS SAP 試験の問題7を指定の形式で整理しました。
■ 問題文(そのまま)
ある企業には数百の AWS アカウントがあります。同社は最近、新しいリザーブドインスタンスを購入し、既存のリザーブドインスタンスを変更するための一元化された内部プロセスを導入しました。このプロセスでは、リザーブドインスタンスの購入や変更を希望するすべてのビジネスユニットが、調達のための専門チームにリクエストを提出する必要があります。以前は、ビジネスユニットが直接、それぞれの AWS アカウントで自律的にリザーブドインスタンスを購入または変更しています。
ソリューションアーキテクトは、可能な限り最も安全な方法で新しいプロセスを実施する必要があります。
これらの要件を満たす最適な手順の組み合わせを選択してください。 (2 つ選択)
■ 選択肢(そのまま)
- A.
ec2:PurchaseReservedInstancesOfferingアクションとec2:ModifyReservedInstancesアクションを拒否する SCP を作成します。組織の各 OU に SCP をアタッチします。 - B. すべての AWS アカウントが、すべての機能が有効になっている AWS Organizations の組織の一部であることを確認してください。
- C. AWS Config を使用して、
ec2:PurchaseReservedInstancesOfferingアクションとec2:ModifyReservedInstancesアクションへのアクセスを拒否する IAM ポリシーのアタッチをレポートします。 - D. 各 AWS アカウントで、
ec2:PurchaseReservedInstancesOfferingアクションとec2:ModifyReservedInstancesアクションを拒否する IAM ポリシーを作成します。 - E. すべての AWS アカウントが、一括請求機能を使用する AWS Organizations の組織の一部であることを確認します。
■ 正解
✅ A
✅ B
■ 解説
✅ A. SCP(Service Control Policy)でリザーブドインスタンスの操作をブロックする
ec2:PurchaseReservedInstancesOffering(購入)ec2:ModifyReservedInstances(変更)
これらを拒否するSCPをOUにアタッチすることで、アカウント全体での操作を強制的に制限できる。- IAM ポリシーと異なり、SCP は強制力があり、アカウント内のすべてのユーザー/ロールに適用される。
✅ B. AWS Organizations で「すべての機能が有効」を確認
- SCP を有効にするには、Organizations の設定で 「すべての機能が有効」な組織である必要がある。
- これにより、ポリシーの適用や OU の階層化、一元的な管理が可能になる。
■ 不正解の選択肢の解説
❌ C. AWS Config に拒否機能はない
- AWS Config は 設定の監査・レポート機能であり、ポリシーのアタッチを拒否する機能はない。
❌ D. 各アカウントに IAM ポリシーを適用するのは非効率
- 数百のアカウントにポリシーを個別に設定するのは運用負荷が高く、統制不能になりやすい。
- また IAM は許可ベースであり、拒否を徹底するには SCPの方が適している。
❌ E. 一括請求(Consolidated Billing)は課金管理のみ
- 一括請求は RI の共有や請求統合に使う機能であり、アクセス制御やセキュリティとは関係ない。
■ SAP 試験での要点整理
| 観点 | ポイント |
|---|---|
| Organizations | 「すべての機能が有効」モードで SCP 利用可能 |
| SCP | IAM より強力な制御、OU単位で施策を強制 |
| RI 購入/変更制限 | ec2:PurchaseReservedInstancesOffering, ec2:ModifyReservedInstances を拒否 |
| Config | モニタリング・監査向け。制限は不可 |
| IAM の弱点 | 各アカウントで管理が必要、バイパスリスクあり |
引き続き、次の問題も同じ形式で送っていただければ整理して解説します。
