Uncategorized

#65

 

ありがとうございます!いただいた問題を指定フォーマットで整理しました。

問題文

企業は、AWS Organizations の組織に AWS アカウントを持っています。同社は、Amazon EC2 の使用量を指標として追跡したいと考えています。同社のアーキテクチャチームは、EC2 使用量が過去 30 日間の平均 EC2 使用量より 10% 以上多い場合、毎日アラートを受け取る必要があります。

これらの要件を満たすソリューションを選択してください。

選択肢

A. 組織の管理アカウントで AWS Budgets を構成します。EC2 の実行時間の利用タイプを指定します。1 日の期間を指定します。AWS Cost Explorer から報告された過去 30 日間の平均使用量より 10% 多い予算額を設定します。使用量のしきい値に達した場合に、アーキテクチャチームに通知するアラートを構成します。

B. 組織の管理アカウントで AWS Cost Anomaly Detection を設定します。AWS サービスのモニタータイプを設定します。Amazon EC2 のフィルターを適用します。使用量が過去 30 日間の平均使用量より 10% 多い場合に、アーキテクチャチームに通知するようにアラートサブスクリプションを構成します。

C. 組織の管理アカウントで AWS Trusted Advisor を有効にします。コスト最適化アドバイザリーアラートを構成し、EC2 使用量が過去 30 日間の報告平均使用量より 10% 多い場合に、アーキテクチャチームに通知します。

D. 組織の管理アカウントで Amazon Detective を構成します。EC2 使用量異常アラートを構成し、Detective が 10% 以上の使用量異常を特定した場合、アーキテクチャチームに通知します。

問題文の要件の概要

  • 対象サービス: Amazon EC2 の使用量
  • 条件: 過去30日間の平均使用量より10%以上増加
  • 頻度: 毎日
  • 目的: 使用量しきい値を超えた際にアーキテクチャチームへアラート通知
  • 前提: AWS Organizations の管理アカウントから集中管理

正解の選択肢と解説

正解: A

  • AWS Budgets は、コストや使用量に基づいてしきい値を設定し、アラートを通知できる仕組み。
  • 本ケースでは「EC2 実行時間の利用タイプ」を指定し、過去30日の平均使用量+10%をしきい値として設定可能。
  • 期間を「1日単位」で集計でき、チームへ通知を飛ばすアラートを作成できるため要件を満たす。

不正解の選択肢の理由

  • B. AWS Cost Anomaly Detection
    • コストや使用量の「異常なパターン」を検出するサービス。
    • 過去30日の平均から10%以上のしきい値を設定して毎日通知する仕組みは提供していない。
  • C. AWS Trusted Advisor
    • コスト最適化やセキュリティのベストプラクティスを提供するサービス。
    • EC2 の日次使用量を追跡して、しきい値アラートを発行する機能はない。
  • D. Amazon Detective
    • セキュリティインシデントの根本原因分析に使うサービス。
    • コストや使用量のモニタリング機能は提供していない。

SAP試験で押さえておくべきポイント

  • AWS Budgets: コストや使用量に基づいてしきい値を設定し、通知や自動アクションを構成できる。
  • Cost Anomaly Detection: 過去パターンから逸脱した「異常」を検出するが、任意のしきい値比較はできない。
  • Trusted Advisor: 最適化アドバイスを提供するが、使用量アラートのしきい値管理はできない。
  • Amazon Detective: セキュリティ調査特化、コストや使用量管理には不適。

👉 Budgets と Cost Anomaly Detection の違いを明確に区別できることが、SAP試験の重要ポイント。

次の問題も同じ形式で整理していきますか?

ありがとうございます!いただいた 問題2 を指定フォーマットで整理しました。

問題文

ある企業がデータセンターを AWS クラウドに移行しており、できるだけ早く移行を完了する必要があります。同社は、データセンター内の数百の VMware VM 上で実行されている多くのアプリケーションを持っています。各 VM は、共通の共有ファイルを含む共有 Windows フォルダで構成されています。ファイル共有のサイズは 100 GB を超えています。

同社のコンプライアンスチームは、各 VM へのソフトウェアのインストールや変更のたびに、変更要求書を提出し、承認することを要求しています。同社は、AWS とデータセンター間で 10 GB の帯域幅を持つ AWS Direct Connect 接続を持っています。

最も短い時間で移行を完了するために、同社が取るべき手順を選択してください。

選択肢

A. VM Import/Export を使用して、各 VM のイメージを作成します。AWS Application Migration Service を使用して、イメージを管理および表示します。Windows ファイル共有データを Amazon Elastic File System (Amazon EFS) ファイルシステムにコピーします。移行後、ファイル共有を EFS ファイルシステムに再マップします。

B. AWS Application Discovery Service エージェントレスアプライアンスを VMware vCenter にデプロイします。AWS Migration Hub で検出された VM のポートフォリオを確認します。

C. AWS Application Migration Service エージェントレスアプライアンスを VMware vCenter にデプロイします。Windows ファイル共有データを新しい Amazon FSx for Windows File Server ファイルシステムにコピーします。移行後、各 VM のファイル共有を FSx for Windows File Server ファイルシステムに再マップします。

D. AWS Application Discovery Service エージェントと AWS Application Migration Service エージェントを各 VMware ハイパーバイザーに直接デプロイします。AWS Migration Hub でポートフォリオを確認します。各 VM のファイル共有データを新しい Amazon FSx for Windows File Server ファイルシステムにコピーします。移行後、各 VM のファイル共有を FSx for Windows File Server ファイルシステムに再マップします。

問題文の要件の概要

  • 移行対象: 数百の VMware VM + 共通 Windows 共有フォルダ(100GB超)
  • 制約条件:
    • コンプライアンス要件により、VM へのソフトウェアインストールが難しい(変更要求書が必要)
    • 迅速な移行が必要
  • 環境: AWS Direct Connect (10Gbps 帯域幅)
  • 要件: 最短時間で移行を完了させたい

正解の選択肢と解説

正解: C

  • AWS Application Migration Service (MGN) のエージェントレスアプライアンス を vCenter にデプロイすることで、VM に直接エージェントを入れずに移行可能。コンプライアンス上の「変更要求」プロセスを回避できる。
  • 共有データについては Amazon FSx for Windows File Server を利用。これは SMB プロトコルをネイティブにサポートし、Windows のファイル共有をそのまま移行可能。
  • 移行後は VM のファイル共有を FSx に再マップするだけで済み、迅速かつ最小の変更でクラウド移行を完了できる。

不正解の選択肢の理由

  • A. VM Import/Export + EFS
    • VM Import/Export は少数 VM のイメージ移行向きであり、数百 VM 規模の迅速な移行には非効率。
    • EFS は Linux 向けの NFS ストレージであり、Windows の SMB ベース共有には適さない。
  • B. Application Discovery Service エージェントレス
    • 検出・可視化のみであり、移行自体を行わないため要件を満たさない。
    • 迅速な移行につながらない。
  • D. Application Discovery + MGN エージェント (ハイパーバイザー単位)
    • エージェントの導入が必要になり、コンプライアンス上「変更要求書の提出・承認」が発生。
    • 迅速な移行が阻害されるため不適切。

SAP試験で押さえておくべきポイント

  • AWS Application Migration Service (MGN)
    • エージェント方式とエージェントレス方式がある。
    • コンプライアンス制約がある場合はエージェントレスが有効。
  • Amazon FSx for Windows File Server
    • SMB プロトコルをサポートし、Windows 共有フォルダをクラウドに移行する際に最適。
  • VM Import/Export
    • 小規模 VM 移行向け。大規模移行には不向き。
  • Application Discovery Service
    • 環境把握用(検出・依存関係分析)であり、移行そのものには使えない。

👉 試験では 「迅速に移行する」+「VM への変更を避けたい」= MGN エージェントレス+FSx for Windows という典型パターンを押さえておく必要があります。

次の問題も整理していきますか?

ありがとうございます!いただいた 問題3 を指定フォーマットで整理しました。

問題文

アメリカ合衆国 (US) に拠点を置く企業が、ヨーロッパにある企業を買収しました。どちらの事業も AWS クラウドに依存しています。米国の企業は、マイクロサービスアーキテクチャを使用して新しいアプリケーションを開発しました。米国に拠点を置く企業は、us-east-2 リージョンの 5 つの仮想プライベートクラウド (VPC) にわたってアプリケーションをホストしています。このアプリケーションは、eu-west-1 リージョンの単一の VPC 内に含まれるリソースにアクセスできる必要があります。ただし、アプリケーションは他の VPC にアクセスできないようにする必要があります。

どのリージョンの VPC 間でも CIDR 範囲が重複することはありません。AWS Organizations では、すべてのアカウントがすでに 1 つの組織に統合されています。

これらの要件を満たすために最も費用対効果の高い方法を選択してください。

選択肢

A. eu-west-1 に Transit Gateway を 1 つ作成します。us-east-2 の VPC と eu-west-1 の VPC を Transit Gateway にアタッチします。トラフィックが Transit Gateway を経由するように、各 VPC に必要なルートエントリを作成します。

B. 各リージョンに Transit Gateway を 1 つずつ作成します。関連するサブネットをリージョンの Transit Gateway にアタッチします。トラフィックがリージョンの Transit Gateway を経由してルーティングされるように、各サブネットに関連付けられたルートテーブルに必要なルートエントリを作成します。2 つの Transit Gateway をピアリングします。

C. すべての VPC 間でフルメッシュ設定の VPC ピアリング接続を作成します。トラフィックが VPC ピアリング接続を介してルーティングされるように、各 VPC に必要なルートエントリを作成します。

D. us-east-2 の各 VPC が eu-west-1 の VPC に接続するように、1 つの VPC ピアリング接続を作成します。トラフィックが VPC ピアリング接続を介してルーティングされるように、各 VPC に必要なルートエントリを作成します。

問題文の要件の概要

  • 接続要件: us-east-2 の 5つの VPC → eu-west-1 の単一 VPC へのアクセスのみ
  • 制約: 他の VPC にはアクセスさせない
  • CIDR: 重複なし → VPC ピアリング可能
  • 条件: 費用対効果を最優先
  • 背景: Organizations で統合済み(クロスアカウント設定は容易)

正解の選択肢と解説

正解: D

  • VPC ピアリング接続は、2つの VPC 間をシンプルに直接接続でき、CIDR が重複していなければリージョンを跨いだ接続も可能。
  • このケースでは「us-east-2 の複数 VPC → eu-west-1 の単一 VPC」だけ通信が必要。
  • Transit Gateway を導入するとアタッチメント課金や転送料が増え、要件に対して過剰。
  • フルメッシュ接続も不要であり、シンプルに 必要なVPCペアだけピアリング するのが最も費用対効果が高い。

不正解の選択肢の理由

  • A. eu-west-1 に Transit Gateway を作成
    • すべての VPC をアタッチする必要があり、アタッチメントごとの時間課金+データ処理課金が発生。
    • 単一接続要件に対して過剰設計。
  • B. 両リージョンに Transit Gateway を配置してピアリング
    • 各リージョンの TGW アタッチメント+ TGW ピアリングコストがかかる。
    • シンプルな一対多通信に対してコスト高&複雑。
  • C. 全VPC間のフルメッシュピアリング
    • 不要な VPC 間通信が発生し、セキュリティ要件(他のVPCにアクセス禁止)を満たさない。
    • 接続数も増えて管理コストも高い。

SAP試験で押さえておくべきポイント

  • VPCピアリング:
    • CIDR重複なしならリージョン間接続可能。
    • シンプルで費用対効果が高いが、トランジティブルーティングは不可。
    • 「限定的なVPC間通信」に最適。
  • Transit Gateway:
    • 多数のVPCやオンプレとの接続を集約する場合に有効。
    • 時間課金とデータ処理課金が発生するため、小規模・限定接続では過剰。
  • 設計指針:
    • 接続要件がシンプル → VPCピアリング
    • 多VPC/マルチリージョン集約 → Transit Gateway

👉 試験では「費用対効果」や「要件に必要十分なサービス」を選択するのがポイントです。

次の問題(問題4)も同じ形式で整理していきますか?

ありがとうございます!いただいた 問題4 を指定フォーマットで整理しました。

問題文

ある大企業のソリューションアーキテクトは、AWS Organizations で組織内のすべての AWS アカウントからインターネットへのアウトバウンドトラフィックのネットワークセキュリティを設定する必要があります。組織には 100 を超える AWS アカウントがあり、アカウントは一元化された AWS Transit Gateway を使用して相互にルーティングしています。各アカウントには、インターネットへのアウトバウンドトラフィック用のインターネットゲートウェイと NAT ゲートウェイの両方があります。同社は、リソースを単一の AWS リージョンにのみデプロイしています。同社は、組織内のすべての AWS アカウントについて、インターネットへのすべてのアウトバウンドトラフィックに集中管理されたルールベースのフィルタリングを追加する機能を必要としています。アウトバウンドトラフィックのピーク負荷は、各アベイラビリティーゾーンで 25 Gbps を超えることはありません。これらの要件を満たすソリューションを選択してください。

選択肢

A. インターネットへのアウトバウンドトラフィック用に新しい VPC を作成します。既存の Transit Gateway を新しい VPC に接続します。新しい NAT ゲートウェイを構成します。リージョン内のすべてのアベイラビリティーゾーンでルールベースのフィルタリングを行うオープンソースのインターネットプロキシを実行する Amazon EC2 インスタンスの Auto Scaling グループを作成します。プロキシの Auto Scaling グループを指すように、すべてのデフォルトルートを変更します。

B. インターネットへのアウトバウンドトラフィック用に新しい VPC を作成します。既存の Transit Gateway を新しい VPC に接続します。新しい NAT ゲートウェイを構成します。ルールベースのフィルタリングに AWS Network Firewall のファイアウォールを使用します。各アベイラビリティーゾーンに Network Firewall のエンドポイントを作成します。Network Firewall のエンドポイントを指すように、すべてのデフォルトルートを変更します。

C. 各 AWS アカウントでルールベースのフィルタリング用の AWS Network Firewall のファイアウォールを作成します。各アカウントの Network Firewall のファイアウォールを指すように、すべてのデフォルトルートを変更します。

D. 各 AWS アカウントで、ルールベースのフィルタリング用のオープンソースのインターネットプロキシを実行する、ネットワークに最適化された Amazon EC2 インスタンスの Auto Scaling グループを作成します。プロキシの Auto Scaling グループを指すように、すべてのデフォルトルートを変更します。

問題文の要件の概要

  • 対象範囲: 100以上のアカウント、すべてのアウトバウンドインターネットトラフィック
  • 既存構成: Transit Gateway でアカウント間ルーティング済み
  • 要件:
    • 集中管理された「ルールベースのフィルタリング」
    • 高スループット(AZごとに25Gbps以下)
    • 単一リージョンでの集中運用
  • 課題: 各アカウントで個別に管理するのではなく、セキュリティポリシーを一元化する必要がある

正解の選択肢と解説

正解: B

  • AWS Network Firewall は、ルールベースのフィルタリング(ステートフル/ステートレスルール、ドメインリスト、IPS/IDS機能など)を提供するマネージドサービス。
  • 集中管理を目的に、新しい専用VPCを「アウトバウンドインターネット用VPC」として構築し、Transit Gateway 経由で各アカウントからのトラフィックを集約。
  • 各 AZ に Network Firewall エンドポイントを配置すれば、25Gbps以内のピークトラフィックも処理可能。
  • NAT Gateway と組み合わせて、インターネット通信前に必ず Network Firewall を経由させる構成とすることで、全アカウントのアウトバウンド通信に統制をかけられる。

不正解の選択肢の理由

  • A. EC2ベースのプロキシを導入
    • 自前でスケーリングや可用性管理が必要。
    • 25Gbps級トラフィックの処理は困難で、マネージドサービスの Network Firewall よりコスト効率が悪い。
  • C. 各アカウントごとに Network Firewall を配置
    • 管理負荷が増大し、100アカウント以上を一括で制御できない。
    • 集中管理要件を満たさない。
  • D. 各アカウントでオープンソースプロキシ
    • Aと同様にスケール・運用コストが高く、集中管理もできない。
    • セキュリティポリシーの一貫性を担保できない。

SAP試験で押さえておくべきポイント

  • AWS Network Firewall
    • マネージド型ファイアウォールサービス。
    • ルールベースのトラフィック制御(L3/L4/L7)、IPS/IDS を実現。
    • Transit Gatewayと組み合わせることで「集中型出口制御(egress control)」を構成できる。
  • 設計パターン
    • 集中管理必要 → Network Firewall + 集約VPC
    • 分散管理でも可 → 各アカウントに個別Firewall(ただし運用コスト大)
    • 高スループット&可用性要件 → マネージドサービス優先

👉 SAP試験では「集中型 vs 分散型」「マネージド vs 自前構築」の観点から、運用負荷と費用対効果を最適化する選択肢を見極めるのが重要です。

次の問題(問題5)も整理していきますか?

ありがとうございます!いただいた 問題5 を指定フォーマットで整理しました。

問題文

ある企業は、オンプレミスのアプリケーションと MySQL データベースを AWS に移行しています。アプリケーションは機密性の高いデータを処理し、データベースには常に新しいデータが更新されます。データをインターネット経由で転送してはなりません。また、転送中および保存中のデータを暗号化する必要があります。

データベースのサイズは 5 TB です。同社はすでに Amazon RDS for MySQL DB インスタンスにデータベーススキーマを作成しています。同社は AWS に 1 Gbps の AWS Direct Connect 接続を設定しています。同社はまた、パブリック VIF とプライベート VIF を設定しています。ソリューションアーキテクトは、可能な限りダウンタイムを抑えてデータを AWS に移行するソリューションを設計する必要があります。

これらの要件を満たすソリューションを選択してください。

選択肢

A. データベースのバックアップを実行します。バックアップファイルを AWS Snowball Edge Storage Optimized デバイスにコピーします。バックアップを Amazon S3 にインポートします。保存時の暗号化には、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) を使用します。転送時の暗号化には TLS を使用します。Amazon S3 から DB インスタンスにデータをインポートします。

B. AWS Database Migration Service (AWS DMS) を使用してデータを AWS に移行します。プライベートサブネットに DMS レプリケーションインスタンスを作成します。AWS DMS 用の VPC エンドポイントを作成します。全ロード + 変更データキャプチャ (CDC) を使用して、オンプレミスデータベースから DB インスタンスにデータをコピーする DMS タスクを構成します。保存時の暗号化には AWS Key Management Service (AWS KMS) のデフォルトキーを使用します。転送時の暗号化には TLS を使用します。

C. データベースのバックアップを実行します。AWS DataSync を使用して、バックアップファイルを Amazon S3 に転送します。保存時の暗号化には、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) を使用します。転送時の暗号化には TLS を使用します。Amazon S3 から DB インスタンスにデータをインポートします。

D. Amazon S3 ファイルゲートウェイを使用します。AWS PrivateLink を使用して Amazon S3 へのプライベート接続を設定します。データベースのバックアップを実行します。バックアップファイルを Amazon S3 にコピーします。保存時の暗号化には、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) を使用します。転送時の暗号化には TLS を使用します。Amazon S3 から DB インスタンスにデータをインポートします。

問題文の要件の概要

  • 移行対象: オンプレミス MySQL DB(5TB)
  • 条件:
    • 機密性の高いデータ → 暗号化必須(転送中 & 保存時)
    • データはインターネット経由禁止 → Direct Connect 経由
    • 継続的に更新されるDB → ダウンタイムを最小化
  • 前提: RDS for MySQLのスキーマはすでに作成済み

正解の選択肢と解説

正解: B

  • AWS Database Migration Service (DMS) は、データベース移行時に「全ロード(初期データ移行)」+「変更データキャプチャ(CDC)」を組み合わせて利用可能。
  • これにより、移行中も更新データを継続的に同期し、本番切り替え時にダウンタイムを最小限にできる。
  • DMSレプリケーションインスタンスを プライベートサブネット に配置し、Direct Connect プライベートVIF経由で接続すれば、インターネットを通さずに安全に転送可能。
  • 保存時の暗号化(KMSキー)+転送時の暗号化(TLS)にも対応しており、セキュリティ要件も満たす。

不正解の選択肢の理由

  • A. Snowball Edge + S3
    • 大容量のデータ移行には有効だが、CDC(継続的同期)ができないため、移行後に差分が発生 → ダウンタイム増大。
  • C. DataSync + S3
    • ファイル転送には適しているが、データベースのCDCには対応していない → 最新データを維持できずダウンタイムが必要。
  • D. S3 ファイルゲートウェイ + PrivateLink
    • S3への安全な接続はできるが、CDCを伴うデータベース移行には不適切。バックアップ方式でダウンタイムが長くなる。

SAP試験で押さえておくべきポイント

  • AWS DMS
    • 全ロード + CDCにより、最小ダウンタイムでDB移行可能。
    • TLSによる転送中暗号化、KMSによる保存時暗号化をサポート。
    • プライベート接続(Direct Connect / VPN)と組み合わせることでインターネットを通さない移行が可能。
  • Snowball / DataSync / S3 Gateway
    • 大規模データ移行やファイル転送に適するが、DBのリアルタイム同期(CDC)には使えない

👉 試験では「DB移行でダウンタイムを最小化」= DMSを選択、というパターンを確実に押さえる必要があります。

次の問題(問題6)も同じ形式で整理しますか?

ありがとうございます!いただいた 問題6 を指定フォーマットで整理しました。

問題文

ある企業では、Application Load Balancer (ALB) の背後にある Amazon EC2 インスタンスにデプロイされたアプリケーションがあります。インスタンスは Auto Scaling グループに属しています。このアプリケーションには予測不可能なワークロードがあり、頻繁にスケールアウトとスケールインが行われます。同社の開発チームは、アプリケーションのログを分析して、アプリケーションのパフォーマンスを改善する方法を見つけたいと考えています。しかし、インスタンスがスケールインすると、ログは利用できなくなります。

スケールインイベント後にアプリケーションログを表示できるようにするソリューションを選択してください。

選択肢

A. ALB のアクセスログを有効にします。ログを Amazon S3 バケットに保存します。

B. 統合された CloudWatch エージェントを使用して、Amazon CloudWatch Logs にログを公開するように EC2 インスタンスを設定します。

C. ステップスケーリングポリシーを使用するように Auto Scaling グループを変更します。

D. AWS X-Ray トレースを使用してアプリケーションを計測します。

問題文の要件の概要

  • 対象環境: ALB配下、Auto ScalingグループのEC2インスタンス
  • 課題: スケールイン後にインスタンスが削除されると、アプリケーションログが失われる
  • 要件: スケールイン後でもログを保持・分析できる仕組みが必要

正解の選択肢と解説

正解: B

  • CloudWatch エージェントを利用してログを CloudWatch Logs に送信することで、インスタンスが終了してもログが保持される。
  • Auto Scalingによるスケールイン・スケールアウトの影響を受けずにログが一元的に管理でき、開発チームはいつでも分析可能。
  • CloudWatch Logsは長期保存、クエリ(CloudWatch Logs Insights)、アラート設定とも連携可能で、運用性が高い。

不正解の選択肢の理由

  • A. ALB アクセスログを S3 に保存
    • ALBのアクセスログはリクエスト情報(IP、レイテンシ、HTTPステータスなど)であり、アプリケーション内部のログは取得できない。
  • C. ステップスケーリングポリシー
    • スケーリング挙動(スケールアウト/インのタイミング)を制御するだけで、ログの保存方法には関与しない。
  • D. AWS X-Ray
    • 分散トレーシングサービスであり、アプリケーションの呼び出し経路やレイテンシ解析には有効だが、ログ保存には対応していない。

SAP試験で押さえておくべきポイント

  • EC2 + Auto Scaling環境のログ保持CloudWatch Logsへの集約が必須。
  • ALBアクセスログはリクエスト単位の情報に限られる。アプリログ保存には不可。
  • X-Rayは分散トレーシング用途。ログ保存の代替にはならない。
  • 試験では「スケールイン後もログを保持したい」→ CloudWatch Logs へ転送、という解法を押さえておく。

👉 このパターンは 「スケールインで消えるログの永続化」= CloudWatch Logs という定番問題です。

次の 問題7 も整理していきますか?

お待たせしました!いただいた 問題7 を指定フォーマットで整理しました。

問題文

ある医療会社が、一連の Amazon EC2 インスタンスで REST API を実行しています。EC2 インスタンスは、Application Load Balancer (ALB) の背後にある Auto Scaling グループで実行されます。ALB は 3 つのパブリックサブネットで実行され、EC2 インスタンスは 3 つのプライベートサブネットで実行されます。同社は、ALB を唯一のオリジンとする Amazon CloudFront ディストリビューションをデプロイしました。

オリジンのセキュリティを強化するために、ソリューションアーキテクトが推奨すべきソリューションを選択してください。

選択肢

A. AWS Secrets Manager にランダムな文字列を保存します。自動シークレットローテーション用の AWS Lambda 関数を作成します。オリジンリクエストのカスタム HTTP ヘッダーとしてランダムな文字列を挿入するように CloudFront を設定します。カスタムヘッダーの文字列一致ルールを持つ、AWS WAF を使用して、ウェブ ACL ルールを作成します。ウェブ ACL を ALB に関連付けます。

B. CloudFront サービスの IP アドレス範囲の IP セット一致条件を持つ、AWS WAF を使用して、ウェブ ACL ルールを作成します。ウェブ ACL を ALB に関連付けます。ALB を 3 つのプライベートサブネットに移動します。

C. AWS Systems Manager Parameter Store にランダムな文字列を保存します。文字列の Parameter Store の自動ローテーションを設定します。オリジンリクエストのカスタム HTTP ヘッダーとしてランダムな文字列を挿入するように CloudFront を設定します。カスタム HTTP ヘッダーの値を検査し、ALB でアクセスをブロックします。

D. AWS Shield Advanced を設定する CloudFront サービスの IP アドレス範囲からの接続を許可するセキュリティグループポリシーを作成します。AWS Shield Advanced にポリシーを追加し、ALB にポリシーをアタッチします。

問題文の要件の概要

  • 前提:
    • REST API が ALB 配下の EC2 で稼働
    • CloudFront が ALB をオリジンとして利用
  • 課題:
    • ALB がインターネットに直接公開されている状態では、不正アクセスのリスクがある
  • 要件:
    • ALB への直接アクセスを防ぎ、CloudFront からの正規リクエストのみ許可したい
    • 適切なセキュリティ強化策を実装すること

正解の選択肢と解説

正解: A

  • CloudFront から ALB へのリクエストに カスタム HTTP ヘッダー を付与し、その値を AWS WAF で検証 する仕組みが推奨される。
  • AWS Secrets Manager を利用することで、ヘッダー値を安全に管理・ローテーション可能。
  • これにより、CloudFront 以外の直接アクセスは ALB で拒否でき、オリジンのセキュリティが強化される。

不正解の選択肢の理由

  • B. CloudFront の IP アドレス範囲を WAF で制御
    • CloudFront の IP 範囲は広く、変更される可能性があり管理コストが高い。
    • IP 偽装リスクが残るため不十分。
  • C. Parameter Store + カスタムヘッダー
    • Parameter Store はシークレットの自動ローテーション機能を持たない。
    • セキュリティ強化用途には Secrets Manager がより適切。
  • D. AWS Shield Advanced + セキュリティグループ
    • Shield Advanced は DDoS 対策サービスであり、カスタムヘッダー認証や細かなアクセス制御には使えない。
    • 「セキュリティグループを Shield Advanced に追加する」ことも不可能。

SAP試験で押さえておくべきポイント

  • CloudFront + ALB 構成のセキュリティ強化
    • CloudFront からのリクエストに カスタム HTTP ヘッダー を付与し、ALB 側で WAF ルールを使って検証するのがベストプラクティス。
  • Secrets Manager と Parameter Storeの違い
    • Secrets Manager → シークレットの保存 + 自動ローテーション可
    • Parameter Store → シークレット保存は可能だが、自動ローテーション機能は標準でなし
  • Shield AdvancedDDoS防御 であり、アプリケーションレベルの認証やオリジン保護には直接使えない。

👉 まとめると、この問題は「CloudFront + ALB オリジン保護には、カスタムHTTPヘッダー+Secrets Manager+WAF」を覚える問題です。

次は 問題8 も整理していきますか?

RELATED POST