以下に、指定フォーマットに沿って問題を整理しました。
■ 問題文(文字列を編集せずに出力)
ある企業が多数のアプリケーションを AWS に移行しています。企業は、ネットワーキングとセキュリティの計画が確定したら、アプリケーションを移行およびアップグレードする予定です。組織は、中央ネットワークアカウントで AWS Direct Connect 接続を確立しました。
企業は、近い将来、数百の AWS アカウントと仮想プライベートクラウド (VPC) を持つことを予想しています。企業ネットワークは、AWS リソースに簡単にアクセスし、すべての VPC とやり取りできる必要があります。さらに、企業は自社のクラウドリソースを自社のオンプレミスのデータセンターを介してインターネットに接続したいと考えています。
これらの基準を満たす最適な手順の組み合わせを選択してください。 (3 つ選択)
■ 選択肢(文字列・順番を編集せずに出力)
- A. インターネットゲートウェイをプロビジョニングします。インターネットゲートウェイをサブネットにアタッチします。ゲートウェイを介したインターネットトラフィックを許可します。
- B. 中央アカウントで Direct Connect ゲートウェイを作成します。各アカウントで、Direct Connect ゲートウェイとすべての仮想プライベートゲートウェイのアカウント ID を使用して、関連付けの提案を作成します。
- C. 必要に応じて VPC ピアリングをプロビジョニングします。
- D. Transit Gateway を他のアカウントと共有します。VPC を Transit Gateway にアタッチします。
- E. プライベートサブネットのみをプロビジョニングします。Transit Gateway とカスタマーゲートウェイで必要なルートを開き、AWS からのアウトバウンドインターネットトラフィックがデータセンターで実行される NAT サービスを通過できるようにします。
- F. 中央ネットワークアカウントに Direct Connect ゲートウェイと Transit Gateway を作成します。トランジット VIF を使用して、 Transit Gateway を Direct Connect ゲートウェイにアタッチします。
■ 問題文の要件の概要
- 将来的に数百のAWSアカウントおよびVPCを想定している
- 中央ネットワークアカウントでDirect Connect接続を確立済み
- すべてのVPCと容易に通信できるネットワーク設計が必要
- クラウドからオンプレミス経由でインターネットアクセスが必要
■ 正解の選択肢と解説
D. Transit Gateway を他のアカウントと共有します。VPC を Transit Gateway にアタッチします。
→ Transit Gatewayを共有することで複数アカウントから集約されたネットワーク接続を実現可能。各VPCがTransit Gatewayに接続されるため、スケーラブルで集中管理されたネットワーク構成になる。
E. プライベートサブネットのみをプロビジョニングします。Transit Gateway とカスタマーゲートウェイで必要なルートを開き、AWS からのアウトバウンドインターネットトラフィックがデータセンターで実行される NAT サービスを通過できるようにします。
→ インターネットトラフィックはオンプレミスのNATを経由する要件を満たす構成。セキュリティを保ちながらインターネット接続を集中管理できる。
F. 中央ネットワークアカウントに Direct Connect ゲートウェイと Transit Gateway を作成します。トランジット VIF を使用して、 Transit Gateway を Direct Connect ゲートウェイにアタッチします。
→ トランジットVIFによってDirect ConnectとTransit Gatewayを統合することで、オンプレミスとAWS間の接続を効率的に集約可能。
■ 不正解の選択肢の理由
A. インターネットゲートウェイを使う構成では、企業の要件(オンプレミス経由でのインターネット接続)を満たせない。
B. 各アカウントごとにDirect Connectゲートウェイとの関連付けを提案する方式は、スケーラビリティに欠け、数百のVPCに対応するには非現実的。
C. VPCピアリングはスケーラビリティに欠け、トランジティブ接続もできないため、数百VPC環境では不適。
■ SAP試験で押さえておくべきポイント
- Transit Gatewayの活用: スケーラブルなVPC間通信の中心。アカウント間共有にも対応。
- Direct Connect GatewayとTransit Gatewayの接続: トランジットVIFを利用することでリージョン横断の接続も可能。
- オンプレ経由のインターネットアクセス: NATをオンプレミス側に置く構成が必要な場合は、プライベートサブネット+Customer Gateway+ルーティングの理解が必要。
- 選択肢に「拡張性」「集中管理」「セキュリティ」のキーワードがあるかを常に意識する。
他の問題もあれば、同じ形式で整理しますので引き続きお送りください。
以下は、AWS SAP 試験の問題2に関する整理です。
■ 問題文(編集なし)
ある会社は、単一の Amazon EC2 インスタンスで重要なアプリケーションをホストしています。このアプリケーションは、インメモリデータストアに Amazon ElastiCache for Redis シングルノードのクラスターを使用します。アプリケーションは、リレーショナルデータベースに Amazon RDS for MariaDB DB インスタンスを使用しています。アプリケーションが機能するためには、インフラストラクチャの各層が正常であり、アクティブな状態である必要があります。
ソリューションアーキテクトは、インフラストラクチャが障害から自動的に回復し、ダウンタイムを最小限に抑えることができるように、アプリケーションのアーキテクチャを改善する必要があります。
これらの要件を満たすための最適な手順の組み合わせを選択してください。(3 つ選択)
■ 選択肢(順番そのまま・正解がわからないように)
A. ElastiCache for Redis クラスターにレプリケーショングループを作成します。クラスターでマルチ AZ を有効にします。
B. DB インスタンスを変更して、2 つのアベイラビリティーゾーンにまたがるマルチ AZ 配置を作成します。
C. DB インスタンスを変更して、同じアベイラビリティーゾーンにリードレプリカを作成します。このリードレプリカを、障害発生時のプライマリ DB インスタンスに昇格させます。
D. Elastic Load Balancer を使用して、複数の EC2 インスタンスにトラフィックを分散させます。EC2 インスタンスが、最小キャパシティが 2 つのインスタンスを持つ Auto Scaling グループの一部であることを確認します。
E. ElastiCache for Redis クラスターのレプリケーショングループを作成します。最小キャパシティが 2 つのインスタンスである Auto Scaling グループを使用するようにクラスターを構成します。
F. Elastic Load Balancer を使用して、複数の EC2 インスタンスにトラフィックを分散させます。EC2 インスタンスが無制限 (Unlimited) モードで構成されていることを確認します。
■ 問題文の要件の概要
- EC2 / ElastiCache / RDS を使った3層アーキテクチャ
- 全コンポーネントが可用性・自動回復を満たす必要あり
- ダウンタイム最小化が目的
■ 正解の選択肢と解説
- A: ElastiCache のマルチ AZ 構成とレプリケーショングループはフェイルオーバー機能を提供し、可用性を確保できる。
- B: RDS のマルチ AZ 配置はスタンバイインスタンスを持つことで耐障害性を向上させる。
- D: EC2 を Auto Scaling グループで管理し、ELB 配下で複数 AZ に分散させることで、単一障害点を排除できる。
■ 不正解の選択肢の理由
- C: 同一 AZ のリードレプリカは高可用性には不十分。スケーラビリティには有効だが、障害対策としては不十分。
- E: ElastiCache の Auto Scaling はスケーラビリティを提供するが、高可用性は確保できない。
- F: Unlimited モードは CPU バースト性能向上のためのものであり、可用性向上には関係ない。
■ SAP試験で押さえておくべきポイント
- マルチAZ配置は高可用性の基本。RDS・ElastiCache・EC2すべてに対応手段あり。
- リードレプリカはスケーラビリティ目的。HA用途ではマルチAZが優先。
- Auto Scaling + ELB構成はEC2可用性の鉄板構成。
- UnlimitedモードやAuto Scaling=スケーラビリティ、マルチAZやフェイルオーバー=可用性、と整理して覚えると混乱しにくい。
次の問題があれば引き続きどうぞ。
以下に、指定の形式で問題を整理しました。
■ 問題文(原文のまま)
ある会社は、インターネット経由でアクセスできる SFTP サーバーを介してお客様にファイルを提供しています。SFTP サーバーは、Elastic IP アドレスがアタッチされた単一の Amazon EC2 インスタンスで実行されています。お客様は Elastic IP アドレスを介して SFTP サーバーに接続し、認証に SSH を使用します。EC2 インスタンスには、すべてのお客様 IP アドレスからのアクセスを許可するセキュリティグループも関連付けられています。
ソリューションアーキテクトは、可用性を向上させ、インフラストラクチャ管理の複雑さを最小限に抑え、ファイルにアクセスするお客様への影響を最小限に抑えるソリューションを実装する必要があります。ソリューションは、お客様の接続方法を変更してはなりません。
これらの要件を満たす最適な方法を選択してください。
■ 選択肢(順番通り・正解マークなし)
A.
EC2 インスタンスから Elastic IP アドレスの関連付けを解除します。SFTP ファイルのホスティングに使用する Amazon S3 バケットを作成します。AWS Transfer Family サーバーを作成します。パブリックにアクセス可能なエンドポイントを使用して Transfer Family サーバーを構成します。SFTP Elastic IP アドレスを新しいエンドポイントに関連付けます。Transfer Family サーバーを S3 バケットに指定します。SFTP サーバーから S3 バケットにすべてのファイルを同期させます。
B.
EC2 インスタンスから Elastic IP アドレスの関連付けを解除します。SFTP ファイルのホスティングに使用する新しい Amazon Elastic File System (Amazon EFS) ファイルシステムを作成します。SFTP サーバーを実行するための AWS Fargate タスク定義を作成します。タスク定義でマウントとして EFS ファイルシステムを指定します。タスク定義を利用して Fargate サービスを作成し、サービスの前に Network Load Balancer (NLB) を配置します。サービスを構成する際、SFTP サーバーを実行するタスクに、お客様 IP アドレスを持つセキュリティグループをアタッチします。Elastic IP アドレスを NLB に関連付けます。SFTP サーバーから S3 バケットにすべてのファイルを同期させます。
C.
EC2 インスタンスから Elastic IP アドレスの関連付けを解除します。SFTP ファイルのホスティングに使用する Amazon S3 バケットを作成します。AWS Transfer Family サーバーを作成します。VPC でホストされる、インターネットに面したエンドポイントを持つ Transfer Family サーバーを構成します。SFTP Elastic IP アドレスを新しいエンドポイントに関連付けます。新しいエンドポイントにお客様 IP アドレスを持つセキュリティグループをアタッチします。Transfer Family サーバーを S3 バケットに指定します。SFTP サーバーから S3 バケットにすべてのファイルを同期させます。
D.
EC2 インスタンスから Elastic IP アドレスの関連付けを解除します。SFTP ファイルのホスティングに使用するマルチアタッチ Amazon Elastic Block Store (Amazon EBS) ボリュームを作成します。Elastic IP アドレスがアタッチされた Network Load Balancer (NLB) を作成します。SFTP サーバーを実行する EC2 インスタンスで Auto Scaling グループを作成します。Auto Scaling グループで、起動したインスタンスが新しいマルチアタッチ EBS ボリュームをアタッチするように定義します。NLB の背後にインスタンスを自動的に追加するように、Auto Scaling グループを構成します。Auto Scaling グループが起動する EC2 インスタンスに、お客様の IP アドレスを許可するセキュリティグループを使用するように、Auto Scaling グループを設定します。SFTP サーバーから新しいマルチアタッチ EBS ボリュームにすべてのファイルを同期させます。
■ 問題文の要件の概要
- EC2 単体構成からの脱却(高可用性の実現)
- インフラ管理の簡素化
- クライアント側(接続方法)は変更不可(Elastic IP 経由の SFTP 接続を維持)
■ 正解の選択肢と解説
C. AWS Transfer Family を VPC エンドポイントで構成し、Elastic IP とセキュリティグループを設定した構成
- AWS Transfer Family は VPC ホスト型エンドポイントを使用することで Elastic IP を割り当て可能
- セキュリティグループも設定でき、既存の接続方式(Elastic IP + SSH)を変更せずに利用できる
- バックエンドは S3 にすることでインフラ運用も軽減
■ 不正解の選択肢の理由
A.
Transfer Family の「パブリックエンドポイント」は Elastic IP の割り当てができず、セキュリティグループの設定も不可。クライアント接続維持ができないため要件を満たさない。
B.
Fargate + NLB + EFS 構成は運用が複雑で、Elastic IP の割当先が NLB となるため、直接接続の制御や可用性面の複雑さが残る。
D.
マルチアタッチ EBS を EC2 に組み合わせた構成は、SFTP 用としては運用負荷が高く、またマルチアタッチの制限などを考慮すると適切とは言えない。
■ SAP試験で押さえておくべきポイント
- AWS Transfer Family は SFTP 接続のマネージドサービス。Elastic IP を使いたい場合は「VPC hosted endpoint」が必須。
- パブリックエンドポイントは Elastic IP の割当やセキュリティグループの適用ができない。
- セキュリティグループを設定できるかどうかは、接続制御を維持する上で重要。
- SFTP + 可用性 + 運用簡素化 = Transfer Family + S3 + Elastic IP(VPCエンドポイント構成)
次の問題があれば、同じ形式で整理していきますのでお送りください。
以下にご要望どおりの形式で問題4を整理しました。
■ 問題文(編集せずにそのまま出力)
AWS Organizations を利用しているある企業では、開発者が AWS 上で検証できるようにしています。同社がデプロイしたランディングゾーンの一部として、開発者は会社のメールアドレスを使用してアカウントを要求します。
同社は、開発者がコストのかかるサービスを開始したり、不必要にサービスを実行したりしないようにしたいと考えています。同社は、開発者に毎月の固定予算を与え、AWS のコストを制限する必要があります。
これらの要件を満たす手順の組み合わせを選択してください。(3 つ選択)
■ 選択肢(順番そのまま、正解がわからないように強調なし)
- A. SCP を作成して、コストのかかるサービスやコンポーネントへのアクセスを拒否します。開発者のアカウントに SCP を適用します。
- B. 予算額に達したときにサービスを終了する AWS Budgets アラートアクションを作成します。すべてのサービスを終了させるアクションを設定します。
- C. 予算額に達したときに Amazon Simple Notification Service (Amazon SNS) 通知を送信する AWS Budgets アラートアクションを作成します。AWS Lambda 関数を呼び出して、すべてのサービスを終了させます。
- D. AWS Budgets を使用して、アカウント作成プロセスの一部として、各開発者のアカウントに毎月の固定予算を作成します。
- E. IAM ポリシーを作成して、コストのかかるサービスやコンポーネントへのアクセスを拒否します。開発者のアカウントに IAM ポリシーを適用します。
- F. SCP を作成して、毎月の固定アカウントの使用制限を設定します。開発者のアカウントに SCP を適用します。
■ 問題文の要件の概要
- 開発者に対して コスト制限を実施 したい
- コストのかかるサービスの利用制限 をしたい
- 毎月の固定予算 をアカウントごとに設定したい
- 接続・使用制限は AWS Organizations のアカウント単位 で対応する必要がある
■ 正解の選択肢と解説
- A: SCP により組織内アカウントが使用できる AWS サービスを制限できる。コストのかかるサービスをブロックするのに有効。
- C: AWS Budgets → SNS → Lambda の組み合わせで、特定条件で任意のアクション(例:サービス停止)を自動化可能。
- D: アカウントごとに固定予算を設定することで、使用状況を追跡し、予算超過時に通知や制御が可能。
■ 不正解の選択肢の理由
- B: AWS Budgets では「自動でサービスを停止」するアクションは直接サポートしていない。Lambda 等での制御が必要。
- E: IAM ポリシーはアカウント内部でのアクセス制御に限定されるため、開発者自身のアカウント作成後に拒否しても効果が薄い。SCP のように全体の権限制御はできない。
- F: SCP は「サービスの制限」はできても「アカウントごとの月次コスト上限」は設定できない。これは AWS Budgets で行うべき。
■ SAP試験で押さえておくべきポイント
- SCP(Service Control Policies) は AWS Organizations 内のアカウントで使える最大アクセス許可を制限するもの。サービスの使用そのものを制御したいときに使う。
- IAM ポリシーとの違い:IAM はユーザー単位、SCP はアカウント全体に作用。
- AWS Budgets は「予算設定」「しきい値での通知」「SNS → Lambda 呼び出し」などが可能。
- Budgets 自体には停止権限はない → Lambda を介して実現する。
- コスト制御設計のベストプラクティス:SCP + Budgets + SNS/Lambda の連携。
次の問題があれば引き続き対応します。HTML形式で貼り付けてください。
以下にご要望の形式で整理しました。
■ 問題文(文字列を編集せずにそのまま出力)
ある企業が、Auto Scaling グループの一部であり、Application Load Balancer で保護されている多数の Amazon EC2 インスタンスでアプリケーションを運用しています。アプリケーションの需要は 1 日中変化しており、EC2 インスタンスは頻繁にスケールイン、スケールアウトしています。15 分ごとに、EC2 インスタンスのログファイルが Amazon S3 の中央バケットに移動されます。セキュリティチームは、終了した多くの EC2 インスタンスからログファイルが削除されていることに気づきました。
終了した EC2 インスタンスからのログファイルが中央の S3 バケットに転送されることを保証する一連のアクティビティを選択してください。
■ 選択肢(順番・内容ともにそのまま、正解が分からないように強調なし)
A. ログファイルを Amazon S3 にコピーするスクリプトを作成し、EC2 インスタンス上のファイルにスクリプトを保存します。Auto Scaling ライフサイクルフックと Amazon EventBridge (Amazon CloudWatch Events) ルールを作成し、Auto Scaling グループからのライフサイクルイベントを検出します。autoscaling: EC2_INSTANCE_TERMINATING 遷移で AWS Lambda 関数を呼び出し、[中止] を Auto Scaling グループに送信して終了を防止します。スクリプトを実行してログファイルをコピーし、AWS SDK を使用してインスタンスを終了させます。
B. ログファイルを Amazon S3 にコピーするスクリプトを使用して AWS Systems Manager ドキュメントを作成します。Amazon Simple Notification Service (Amazon SNS) のトピックにメッセージを公開する Auto Scaling ライフサイクルフックを作成します。SNS 通知から、AWS Systems Manager API の SendCommand 操作を呼び出してドキュメントを実行し、ログファイルをコピーし、[中止] を Auto Scaling グループに送信してインスタンスを終了させます。
C. ログファイルを Amazon S3 にコピーするスクリプトを使用して AWS Systems Manager ドキュメントを作成します。Auto Scaling ライフサイクルフックと Amazon EventBridge (Amazon CloudWatch Events) ルールを作成し、Auto Scaling グループからのライフサイクルイベントを検出します。autoscaling: EC2_INSTANCE_TERMINATING 遷移で AWS Lambda 関数を呼び出して AWS Systems Manager API SendCommand 操作を実行し、ログファイルをコピーして、インスタンスを終了するために Auto Scaling グループに [続行] を送信するドキュメントを実行します。
D. ログの配信頻度を 5 分ごとに変更します。ログファイルを Amazon S3 にコピーするスクリプトを作成し、スクリプトを EC2 インスタンスのユーザーデータに追加します。Amazon EventBridge (Amazon CloudWatch Events) ルールを作成して、EC2 インスタンスの終了を検出します。AWS CLI を使用してユーザーデータスクリプトを実行し、ログファイルをコピーしてインスタンスを終了する Amazon EventBridge (Amazon CloudWatch Events) ルールから AWS Lambda 関数を呼び出します。
■ 問題文の要件の概要
- Auto Scaling グループの EC2 インスタンスがスケールイン時に終了される
- 終了前にログファイルを Amazon S3 に確実に転送する必要がある
- ログは15分ごとに転送されているが、終了により一部ログが失われている
■ 正解の選択肢と解説
C
Auto Scaling のライフサイクルフックを利用し、autoscaling:EC2_INSTANCE_TERMINATING イベント発生時に EventBridge 経由で Lambda を起動し、Systems Manager SendCommand を使用してログ転送スクリプトを実行する構成。実行後、CompleteLifecycleAction を送って終了を許可することで、確実にログを送信してから EC2 を終了させられる。
■ 不正解の選択肢の理由
A
Lambda から直接スクリプトを呼ぶ構成だが、EC2 内部のファイルに保存されたスクリプトを実行するのは信頼性が低く、標準的な設計でもない。また [中止] を返すとその後の処理(他のライフサイクルアクション)が止まってしまい、設計として不適。
B
SNS トピックを挟んで SendCommand を実行しているが、EventBridge を活用した設計が推奨される。また [中止] を送っている点も適切でない。
D
ユーザーデータ経由で終了時処理を行うのは信頼性に欠ける。ライフサイクルフックを使わないため、終了処理のタイミング制御もできず、ログ送信の保証ができない。
■ SAP試験で押さえておくべきポイント
- Auto Scaling ライフサイクルフックは、EC2の終了/起動時にカスタムアクションを挟むための仕組みで、ログ回収などに活用される
- EventBridge + Lambda + SSM SendCommand の組み合わせは、確実なアクション実行におけるベストプラクティス
- [中止]と[続行]の違いに注意:「中止」は他アクションを止め、「続行」は処理継続を許可する
- EC2インスタンスの終了前に処理を挟みたい場合、ユーザーデータや単なるスクリプト保存では不十分で、ライフサイクルフックの活用が必須
次の問題もお送りいただければ、同様の形式で整理いたします。
以下に、問題6の内容を指定の形式で整理しました。
■問題文(編集せずそのまま出力)
ある企業は、単一の AWS アカウントを持つ環境があります。ソリューションアーキテクトは、AWS マネジメントコンソールへのアクセスに関して、会社が改善できる点を提案するために環境を見直しています。現在、同社の IT サポート担当者は、管理作業のためにコンソールにアクセスし、職務上のロールにマッピングされた名前付き IAM ユーザーで認証しています。
IT サポート担当者は、Active Directory と IAM の両方のユーザーアカウントを維持する必要がなくなりました。今後、既存の Active Directory の認証情報を使用して、コンソールにアクセスできるようにしたいと考えています。ソリューションアーキテクトは、この機能を実装するために AWS IAM Identity Center (AWS Single Sign-On) を使用しています。
これらの要件を最も費用対効果の高い方法で満たすソリューションを選択してください。
■選択肢(編集せずそのまま出力)
A.
AWS Organizations で組織を作成します。組織内のすべての機能を有効にします。会社のオンプレミス Active Directory に接続する AD Connector を作成して構成します。IAM Identity Center を設定し、AD Connector を ID ソースとして設定します。アクセス許可セットを作成し、会社の Active Directory 内の既存のグループにマッピングします。
B.
AWS Organizations で組織を作成します。Organizations で IAM Identity Center 機能を有効にします。会社のオンプレミス Active Directory に接続する AD Connector を作成して構成します。IAM Identity Center を設定し、ID ソースとして AD Connector を選択します。アクセス許可セットを作成し、会社の Active Directory 内の既存のグループにマッピングします。
C.
AWS Organizations で組織を作成します。組織内のすべての機能を有効にします。AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) で、会社のオンプレミス Active Directory と双方向に信頼できるディレクトリを作成して構成します。IAM Identity Center を設定し、AWS Managed Microsoft AD ディレクトリを ID ソースとして設定します。アクセス許可セットを作成し、AWS Managed Microsoft AD ディレクトリ内の既存のグループにマッピングします。
D.
AWS Organizations で組織を作成します。Organizations で IAM Identity Center 機能を有効にします。AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) で、会社のオンプレミス Active Directory と双方向に信頼できるディレクトリを作成して構成します。IAM Identity Center を設定し、AWS Managed Microsoft AD ディレクトリを ID ソースとして設定します。アクセス許可セットを作成し、AWS Managed Microsoft AD ディレクトリ内の既存のグループにマッピングします。
■問題文の要件の概要
- 単一アカウント環境
- IAM ユーザーではなく Active Directory を用いたシングルサインオンに移行したい
- IAM Identity Center を利用する
- コスト効率を重視
■正解の選択肢と解説
- 正解:A
解説:
AWS IAM Identity Center を使用して Active Directory と統合するには、以下が必要です:
- AWS Organizations のすべての機能を有効化(部分機能では不可)
- オンプレ AD と接続するために AD Connector を使用(AWS Managed Microsoft AD より安価)
- IAM Identity Center を設定し、AD Connector を ID ソースとして使用
AD Connector はマネージド型ディレクトリサービスを必要とせず、コストが抑えられます。
これにより、オンプレ AD の資格情報で AWS コンソールにログインできるようになります。
■不正解の選択肢の理由
- B:
IAM Identity Center の機能だけを個別に有効にすることはできません。Organizations 全体で「すべての機能」を有効にする必要があります。 - C:
AWS Managed Microsoft AD はフルマネージドで便利ですが、AD Connector よりも コストが高く 要件(費用対効果)に合いません。 - D:
Cと同様、Managed Microsoft AD はコストが高く、費用対効果が低いため要件に不適。
■SAP試験で押さえておくべきポイント
- IAM Identity Center を利用するための前提:
- AWS Organizations の「すべての機能」を有効にする必要がある
- ID ソースには AD Connector か Managed Microsoft AD を選択可能
- AD Connector の特徴:
- オンプレ AD に直接接続できる
- クラウドに情報をキャッシュしない
- 費用対効果が高い(マネージドADより安価)
- 費用対効果の比較観点:
- AD Connector(自社ADと連携、安価)
- AWS Managed Microsoft AD(フルマネージド、信頼性高いが高価)
- 試験対策のポイント:
- 「最も費用対効果が高い」「最も効率的」などのキーワードに注目
- IAM Identity Center の統合に必要な構成と制約を整理する
次の問題もお送りいただければ、同様に整理いたします。
以下に、問題7の内容を指定形式で整理しました。
■問題文(編集せずそのまま出力)
企業には、個々のビジネスグループが所有する多数の AWS アカウントがあります。最近、そのうちの 1 つのアカウントが侵害されました。攻撃者は大量のインスタンスを起動し、その結果、そのアカウントに高額な請求が発生しました。
同社はセキュリティ侵害に対処しましたが、ソリューションアーキテクトは、すべてのアカウントで過剰な支出を検知するソリューションを開発する必要があります。各ビジネスグループは、AWS アカウントを完全に管理したいと考えています。
これらの要件を満たすために、最適なソリューションを選択してください。
■選択肢(編集せずそのまま出力)
A.
AWS Organizations を使用します。各 AWS アカウントを管理アカウントに追加します。ec2:instanceType 条件キーを使用する SCP を作成して、各アカウントで高コストのインスタンスタイプが起動されないようにします。
B.
各アカウントの IAM グループに新しいお客様管理の IAM ポリシーをアタッチします。ec2:instanceType 条件キーを使用して、高コストのインスタンスタイプの起動を防止するようにポリシーを構成します。既存のすべての IAM ユーザーを各グループに配置します。
C.
各アカウントで AWS Cost Explorer を有効にします。各アカウントの Cost Explorer レポートを定期的に確認して、支出が目的の金額を超えていないことを確認します。
D.
各 AWS アカウントの請求アラートを有効にします。アカウントが指定された支出しきい値を超えるたびに、Amazon Simple Notification Service (Amazon SNS) 通知をアカウント管理者に送信する Amazon CloudWatch アラームを作成します。
■問題文の要件の概要
- 企業内には複数のビジネスグループ、それぞれが独自に AWS アカウントを管理
- 1つのアカウントが侵害され、高額請求が発生
- 今後、すべてのアカウントで過剰請求を検知できる仕組みが必要
- 各ビジネスグループはアカウント管理権限を維持したい
- セキュリティ監視のための自動アラートが求められている
■正解の選択肢と解説
- 正解:D
解説:
請求に対する自動的なモニタリングとアラートを実現するには、Amazon CloudWatch 請求アラームとAmazon SNS 通知を活用します。
これにより、各アカウントの支出が設定した金額を超えた場合、即座にアラートを通知できます。
この方法は:
- アカウントの自主性(各ビジネスグループによる管理)を損なわず
- セキュリティ侵害やミスによる急激なコスト増加をリアルタイムに検知
■不正解の選択肢の理由
- A:
SCP(Service Control Policy)でec2:instanceTypeを制限するのは一見有効に見えますが、すべてのアカウントを組織配下に置く必要があり、各ビジネスグループの独立性(完全管理)を損なうため要件に合致しません。 - B:
IAM ポリシーで特定のインスタンスタイプを制限できますが、IAM の適用範囲はユーザー単位であり、意図しない経路からインスタンスが作成される可能性があります。また、統一的なアラート機能がないため、過剰請求の検知には不十分。 - C:
Cost Explorer は分析に便利ですが、リアルタイム通知ができないため、侵害による急激な請求を即時に把握できません。手動確認が必要な点も実運用に不適。
■SAP試験で押さえておくべきポイント
- CloudWatch 請求アラームは、アカウント単位で設定可能であり、コスト異常の早期検知に最適
- SNS 通知と組み合わせることで自動アラートが可能
- 請求メトリクスはバージニア北部リージョンにのみ存在するため、CloudWatch Alarm のリージョン設定に注意
- Cost Explorer や SCP、IAM ポリシーは抑制策であり、即時通知には不向き
- 「各グループが自アカウントを管理したい」という要件には、中央集権的な制御を避ける必要がある
次の問題もあれば、引き続き対応いたします。
