お待たせしました!いただいた 問題1 を指定フォーマットで整理しました。
問題文
レンタカー会社は、モバイルアプリにデータを提供するために、サーバーレスの REST API を構築しました。このアプリは、リージョナルなエンドポイントを持つ Amazon API Gateway、AWS Lambda 関数、Amazon Aurora MySQL Serverless DB クラスターで構成されています。同社は最近、この API をパートナー企業のモバイルアプリに公開しました。その結果、リクエスト数が大幅に増加し、データベースのメモリエラーが散発的に発生しました。API のトラフィックを分析したところ、クライアントが短時間に同じクエリに対して複数の HTTP GET リクエストを行っていることが分かりました。トラフィックは営業時間中に集中しており、休日やその他のイベントの前後に急増します。このソリューションに関連するコストの増加を最小限に抑えながら、追加の使用量をサポートする能力を向上させる必要があります。これらの要件を満たす戦略を選択してください。
選択肢
A. API Gateway リージョナルなエンドポイントをエッジ最適化エンドポイントに変換します。本番ステージでキャッシュを有効にします。
B. Amazon ElastiCache for Redis キャッシュを実装して、データベース呼び出しの結果を保存します。キャッシュを使用するように Lambda 関数を変更します。
C. Aurora Serverless DB クラスターの構成を変更して、使用可能なメモリーの最大量を増やします。
D. API Gateway の本番ステージでスロットリングを有効にします。レートとバーストの値を設定して、着信コールを制限します。
問題文の要件の概要
- 状況:
- API Gateway + Lambda + Aurora Serverless で構築されたサーバーレスAPI
- 外部パートナー公開後、リクエストが急増し Aurora でメモリエラー発生
- 原因:
- 同一クエリに対して短時間に大量のリクエスト
- 要件:
- コストを最小化しつつ、ピーク時の大量リクエストを処理可能にする
- データベースへの負荷を減らす必要がある
正解の選択肢と解説
正解: A
- API Gateway のキャッシュ機能を利用することで、同一の GET リクエストに対するレスポンスをキャッシュし、バックエンド(DB)へのクエリを減らせる。
- エッジ最適化エンドポイントを利用することで、CloudFront 経由でグローバルにキャッシュが効き、遅延改善にもつながる。
- Aurora や ElastiCache を増強せずに済み、アプリ側の変更不要で低コストかつ即効性が高い。
不正解の選択肢の理由
- B. ElastiCache for Redis
- 効果はあるが、Lambda 側のコード改修が必要。
- Redis クラスターの運用・コスト増が避けられない。
- C. Aurora Serverless のメモリ増強
- 一時的な対応策であり、同じクエリが大量に来る構造的な問題を解決できない。
- コストも大幅に増加。
- D. API Gateway スロットリング
- リクエスト数を制限できるが、ユーザー体験を悪化させる。
- 根本的な「同一クエリの繰り返し」に対処できない。
SAP試験で押さえておくべきポイント
- API Gateway のキャッシュ機能は「DB負荷軽減」「コスト削減」「アプリ改修不要」で最も効果的な方法。
- ElastiCache との比較:
- ElastiCache は高パフォーマンスだが追加コスト・アプリ改修が必要
- API Gateway キャッシュは設定だけで利用可能
- スロットリングはDoS対策用途であり、負荷軽減には別手段が必要。
- Auroraリソース増強は最終手段であり、まずはキャッシュによる効率化を検討すべき。
👉 この問題は「同一リクエストのキャッシュによる効率化」を問う典型的な設計問題です。
次は 問題2 も整理しますか?
お待たせしました!いただいた 問題2 を指定フォーマットで整理しました。
問題文
ある企業では、複数の AWS アカウントを保有しています。同社は最近セキュリティ監査を受け、Amazon EC2 インスタンスに接続されている暗号化されていない Amazon Elastic Block Store (Amazon EBS) ボリュームが多数あることが判明しました。
ソリューションアーキテクトは、暗号化されていないボリュームを暗号化し、将来的に暗号化されていないボリュームが自動的に検出されるようにする必要があります。さらに、同社は、コンプライアンスとセキュリティに重点を置いて、複数の AWS アカウントを一元管理できるソリューションを求めています。
これらの要件を満たすために、ソリューションアーキテクトはどの手順の組み合わせを実行する必要がありますか? (2 つ選択)
選択肢
A. AWS Organizations で組織を作成します。AWS Control Tower を設定し、強く推奨されるガードレールを有効にします。すべてのアカウントを組織に参加させます。AWS アカウントを OU に分類します。
B. AWS CLI を使用して、すべての AWS アカウントの暗号化されていないすべてのボリュームを一覧表示します。スクリプトを実行し、暗号化されていないボリュームをすべて暗号化します。
C. 暗号化されていない各ボリュームのスナップショットを作成します。暗号化されていないスナップショットから新しい暗号化されたボリュームを作成します。既存のボリュームを取り外し、暗号化されたボリュームと交換します。
D. AWS Organizations で組織を作成します。AWS Control Tower を設定し、必須のガードレールを有効にします。すべてのアカウントを組織に参加させます。AWS アカウントを OU に分類します。
E. AWS CloudTrail を有効にします。暗号化されていないボリュームを検出して自動的に暗号化するように Amazon EventBridge (Amazon CloudWatch Events) ルールを設定します。
問題文の要件の概要
- 現状:
- 複数アカウントに暗号化されていない EBS ボリュームが多数存在
- 要件:
- 既存の暗号化されていないボリュームを暗号化する
- 将来的に未暗号化のボリュームを自動検出可能にする
- 複数アカウントを一元的に管理し、コンプライアンスを維持
正解の選択肢と解説
正解: A, C
- A. AWS Organizations + Control Tower(強く推奨されるガードレール)
- 強く推奨されるガードレールには「EBS ボリューム暗号化の検出」が含まれる。
- 複数アカウントを統合管理し、コンプライアンス違反を可視化可能。
- C. スナップショットを経由して暗号化ボリュームを作成・置換
- EBS は既存ボリュームを直接暗号化できない。
- 手順:
- 未暗号化ボリュームのスナップショットを作成
- そのスナップショットから暗号化済みボリュームを新規作成
- 古いボリュームをデタッチし、新しい暗号化ボリュームに付け替える
不正解の選択肢の理由
- B. AWS CLI でスクリプト化
- 自動化できるが、ガードレールや一元管理の仕組みを提供しないため、監査対応として不十分。
- D. Control Tower の「必須ガードレール」
- 必須ガードレールには「EBS 暗号化の検出」は含まれない。
- セキュリティ監査要件を満たせない。
- E. CloudTrail + EventBridge で検出 → 自動暗号化
- CloudTrail は操作ログを記録するが、既存ボリュームの修正まではできない。
- 自動修正の仕組みは提供されないため不適切。
SAP試験で押さえておくべきポイント
- EBS の暗号化:
- 既存ボリュームは直接暗号化できない → スナップショットを経由する。
- Control Tower のガードレール:
- 「必須」ガードレール → アカウント運用の基本設定
- 「強く推奨」ガードレール → セキュリティやコンプライアンス強化(EBS 暗号化検出など)
- 複数アカウント管理には AWS Organizations + Control Tower が必須知識。
- SAP 試験では「検出的コントロール(ガードレールやConfigルール)+是正的アクション(暗号化ボリューム置換)」の組み合わせが問われる。
👉 この問題は「EBS 暗号化の正しいやり方」と「Control Tower ガードレールの違い」を押さえるのがポイントです。
次は 問題3 を整理していきますか?
了解しました!問題3 を指定フォーマットで整理しました ✅
問題文
企業は AWS Organizations を導入して、開発者による Amazon EC2、Amazon S3、および Amazon DynamoDB へのアクセスを制限しています。開発者は、個別の組織エンティティ (OU) です。開発者アカウントで、ソリューションアーキテクトは次の SCP を実装しています。
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowEC2",
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*"
},
{
"Sid": "AllowDynamoDB",
"Effect": "Allow",
"Action": "dynamodb:*",
"Resource": "*"
},
{
"Sid": "AllowS3",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
このポリシーをデプロイした後、開発者アカウントの IAM ユーザーは、ポリシーに含まれていない AWS サービスを引き続き利用することができます。
ソリューションアーキテクトは、開発者がこのポリシーの対象外のサービスにアクセスするのを防ぐために何をする必要がありますか?
選択肢
A. 制約する必要がある AWS サービスごとに明示的な拒否ステートメントを作成します。
B. 開発者アカウントの OU から FullAWSAccess SCP を削除します。
C. すべてのサービスを明示的に拒否するように FullAWSAccess SCP を変更します。
D. ワイルドカードを使用して明示的な拒否ステートメントを SCP の最後に追加します。
問題文の要件の概要
- 現状: OU に SCP をアタッチ済みだが、IAM ユーザーが他サービスも利用できてしまう。
- 原因: デフォルトで
FullAWSAccess SCPがアタッチされているため、全サービスが許可されている。 - 要件: 指定サービス(EC2/S3/DynamoDB)のみ利用可能、それ以外は拒否。
正解の選択肢と解説
正解: B. 開発者アカウントの OU から FullAWSAccess SCP を削除する
- AWS Organizations ではデフォルトで FullAWSAccess SCP が OU にアタッチされる。
- これが残っていると「全サービスが許可される」ため、個別に作った許可 SCP が意味をなさない。
- FullAWSAccess を削除することで、デフォルトは 暗黙的 Deny となり、今回のような 許可リスト方式 (Allowlist) SCP が機能する。
不正解の選択肢の理由
- A. 各サービスに明示的な Deny を追加
- 新しいサービスが出るたびに Deny を追加する必要があり、保守性が悪い。
- 本質的な解決にならない。
- C. FullAWSAccess SCP を変更
- マネージド SCP(FullAWSAccess)は編集不可。
- 誤った理解に基づいた選択肢。
- D. ワイルドカードで明示的 Deny を追加
DenyはAllowを必ず上書きするため、EC2/S3/DynamoDB も利用できなくなる。
SAP試験で押さえておくべきポイント
- SCP の基本ルール
- SCP は「上限」: IAM 権限があっても SCP で禁止されていれば利用不可。
- FullAWSAccess SCP が付与されていると全サービス利用可能になる。
- 許可リスト方式 (Allowlist SCP)
- FullAWSAccess SCP を外す → 明示的に Allow したサービスのみ利用可能。
- 試験対策の鉄則
- 「SCPで制御できていない → FullAWSAccess SCPが残っている」が典型パターン。
👉 この問題は 「SCPをAllowリスト化するにはFullAWSAccess SCPを外す」 という鉄板知識です。
次は 問題4(Outboundトラフィック + Network Firewall のやつ)を再整理しますか?
了解しました!問題4 を整理しました ✅
問題文
ヨーロッパのオンライン新聞社の公開されている WordPress サイトは、ロンドンの同じ場所にあるデータセンターでホストされています。ロードバランサー、ウェブサーバー2台、MySQLデータベースサーバー1台が、現在のWordPressのアーキテクチャを構成しています。
ソリューションアーキテクトは、以下の条件を満たすソリューションを構築する責任を負っています。
- ウェブサイトのパフォーマンス向上
- ウェブ層のスケーラブル化とステートレス化
- データベースサーバーの読み込み負荷の改善
- 欧米のユーザーに対するレイテンシーの軽減
- 99.9%の可用性を目標に新しいアーキテクチャを設計
運用効率を向上させながら、これらの基準を満たす方法を選択してください。
選択肢
A. 1つのAWSリージョンと3つのAZにあるWordPressのEC2 Auto Scalingグループの前にALBを使用。マルチAZのAurora MySQL DBクラスターの前にElastiCacheクラスターを構成。WordPressの共有ファイルをEFSに移動。ALBをオリジンとしてCloudFrontを設定し、米国とヨーロッパを含む価格クラスを選択。
B. 2つのリージョンで各2AZにWordPressのEC2 Auto Scalingグループ+リージョンをまたぐALB。グローバルAurora MySQL DBの前にElastiCache。共有ファイルをEFSに移動、クロスリージョンレプリケーション設定。ALBをオリジンとしてCloudFrontを設定。
C. 1つのリージョンと3AZでWordPressのEC2 Auto Scalingグループ+ALB。Aurora MySQLの前にDocumentDB。共有ファイルをEFSに移動。ALBをオリジンとしてCloudFrontを設定、全世界価格クラスを選択。
D. 2つのリージョンと各3AZにEC2 Auto Scalingグループ+リージョンをまたぐALB。グローバルAurora MySQLの前にElastiCache。WordPress共有ファイルをFSxに移動、リージョン間同期。ALBをオリジンとしてCloudFrontを設定し、米国とヨーロッパの価格クラスを選択。
要件の概要
- 可用性99.9% → マルチAZ構成が必須
- パフォーマンス改善 → キャッシュ(ElastiCache)、CDN(CloudFront)が有効
- ステートレス化 → EFSで共有ストレージ
- レイテンシー改善 → CloudFrontのエッジキャッシュ利用
- 運用効率重視 → 単一リージョン+マルチAZ設計が適切(マルチリージョンは複雑化・過剰)
正解の選択肢と解説
正解: A
- Auto Scaling + ALB(マルチAZ) → ウェブ層をスケーラブルに
- Aurora MySQL マルチAZ → 高可用性のDB
- ElastiCache → 読み込み負荷を軽減
- EFS → WordPressのアップロードやテーマを共有し、ステートレス化
- CloudFront(価格クラス: US + EU) → 欧米ユーザーのレイテンシーを改善
これにより 全要件をシンプルに満たすベストプラクティス構成。
不正解の選択肢の理由
- B / D: マルチリージョン + リージョンをまたぐALB
- ALBやAuto Scalingはリージョン単位でしか構成できない。
- マルチリージョンはオーバーエンジニアリングで、運用効率が低下。
- C: Aurora MySQLの前にDocumentDB
- DocumentDBはMongoDB互換のNoSQLであり、MySQLの代替にはならない。
- WordPressのDB要件に適さない。
SAP試験で押さえるべきポイント
- WordPress移行のベストプラクティス構成
- Web層: Auto Scaling + ALB
- ストレージ: EFSでステートレス化
- DB: Aurora MySQL マルチAZ + ElastiCache
- グローバル配信: CloudFront
- 試験トリック
- 「マルチリージョン ALB」という選択肢は誤り。
- 「Aurora MySQLの代わりにDocumentDB」も誤り(WordPressはRDBMS依存)。
- 正解は 単一リージョン+マルチAZ+キャッシュ+CDN のシンプル構成。
👉 この問題は WordPressベストプラクティス構成をそのまま聞いている定番問題です。
次に進めるなら 問題5(DMS移行のやつ) を整理しますか?
了解しました!問題5 を指定フォーマットで整理しました ✅
問題文
病院内の医療機器を追跡している会社は、既存のストレージソリューションを AWS クラウドに移行したいと考えています。
この企業では、すべての機器にセンサーを搭載し、位置情報や使用情報を収集しています。このセンサーデータは、予測できないパターンで送信され、大きなスパイクが発生します。
このデータは、各病院のオンプレミスで稼働している MySQL データベースに保存されています。
同社は、使用状況に応じて拡張できるクラウドストレージソリューションを求めています。
分析チームは、センサーデータを使用して、デバイスの種類や病院ごとの使用量を計算します。分析チームは、クラウドからデータを取得しながら、分析ツールをローカルで実行する必要があります。
また、既存の Java アプリケーションと SQL クエリをできるだけ変更せずに使用する必要があります。
センサーデータの安全性を確保しながら、これらの要件を満たす最適な方法を選択してください。
選択肢
A. Amazon Aurora Serverless のデータベースにデータを保存します。Network Load Balancer (NLB) を介してデータを提供します。AWS Secrets Manager に保存されている認証情報を使用して、NLB を使用するユーザーを認証します。
B. Amazon S3 バケットにデータを保存します。IAM で認証されたユーザーと、データソースとして S3 バケットを使用して、Amazon QuickSight を介してデータを提供します。
C. Amazon Aurora Serverless のデータベースにデータを保存します。IAM で認証されたユーザーと Secrets Manager ARN を使用して、Aurora Data API を介してデータを提供します。
D. Amazon S3 バケットにデータを保存します。転送中のデータを保護するために AWS PrivateLink を使用して Amazon Athena を介してデータを提供します。
問題文の要件の概要
- データは MySQL データベース に保存されている → 互換性のあるソリューションが必要
- ワークロードは 予測できないスパイク型 → オートスケーリング対応が必要
- 既存の Java アプリ + SQL クエリを変更最小限 → RDBMS が必須
- 分析チームはローカルツールで SQL を使いたい → データベース接続が必要
- セキュリティを担保する必要あり → Secrets Manager / IAM 統合
正解の選択肢と解説
正解: C. Aurora Serverless + Data API + IAM/Secrets Manager
- Aurora Serverless は MySQL 互換の RDBMS であり、既存の MySQL DB をそのまま移行可能。
- Serverless のため スパイクや予測困難な負荷に自動スケール対応できる。
- Aurora Data API により、永続接続不要で HTTP ベースで SQL 実行が可能。
- 認証は Secrets Manager と IAM を統合して実現 → セキュリティを確保。
- Java アプリや SQL クエリの変更は最小限で済む。
不正解の選択肢の理由
- A. Aurora Serverless + NLB + Secrets Manager
- NLB はデータベース認証を扱えない。
- SQL 接続管理には不適切。
- B. S3 + QuickSight
- S3 はオブジェクトストレージであり、RDBMS の代替にはならない。
- 既存 SQL クエリが利用できない。
- D. S3 + Athena + PrivateLink
- Athena は SQL を提供できるが、既存の MySQL アプリケーションは動作しない。
- 既存 Java アプリや SQL の互換性を満たさない。
SAP試験で押さえておくべきポイント
- Aurora Serverless の適用場面
- ワークロードが断続的・スパイク型・予測困難な場合に最適。
- MySQL / PostgreSQL 互換 → 既存アプリの移行に適している。
- Aurora Data API の特徴
- HTTP 経由で SQL 実行(永続接続不要)。
- Secrets Manager に保存した認証情報を使う → 安全なアクセス管理。
- 試験トリック
- 「S3 + QuickSight」「S3 + Athena」はレポート系であり、既存アプリやSQL互換要件を満たさない。
- 「Aurora + NLB」もあり得ない構成(DB接続は直接 / Data API経由)。
- Aurora Serverless + Data API が正解パターン。
👉 この問題は 「Aurora Serverless + Data API」 を選ばせる典型問題です。
次は 問題6(CloudHSM と KMS の鍵管理)」 を整理してみますか?
了解しました!問題6 を指定フォーマットで整理しました ✅
問題文
ある会社が AWS で新しいアクセスしやすいウェブアプリケーションを開発しています。
このアプリケーションは、AWS アプリケーションサーバーと、オンプレミスにあるバックエンドの REST API との間で、常に信頼性の高い通信を行う必要があります。
AWS とオンプレミス間のバックエンド接続は、AWS Direct Connect 接続を使用したプライベート仮想インターフェイスで処理される予定です。
Amazon Route 53 は、バックエンド REST API の IP アドレスを解決するために、アプリケーションのプライベート DNS レコードを処理するために利用されます。
バックエンド API への安全な接続を確立する可能性が最も高いアーキテクチャを選択してください。
選択肢
A. バックエンド REST API のために少なくとも 2 つのバックエンドエンドポイントを実装し、Route 53 ヘルスチェックを使用して各バックエンドエンドポイントの可用性を監視し、DNS レベルのフェイルオーバーを実行します。
B. 別のネットワークキャリアから 2 つ目の Direct Connect 接続をインストールし、最初の Direct Connect 接続と同じ仮想プライベートゲートウェイに接続します。
C. 同じネットワークキャリアから同じ Direct Connect 接続用の 2 つ目のクロスコネクトをインストールし、両方の接続を同じプライベート仮想インターフェイス上の同じ Link Aggregation Group (LAG) に参加させます。
D. オンプレミスのデータセンターから AWS へ パブリック仮想インターフェイス経由でルーティングされた IPSec VPN 接続を作成し、Direct Connect 接続と同じ仮想プライベートゲートウェイにアタッチします。
問題文の要件の概要
- AWS とオンプレミスのバックエンド間で信頼性の高い通信が必要
- Direct Connect を利用して専用線を確保する
- ただし Direct Connect は専用回線だが 暗号化を保証しない → 追加のセキュリティ対策が必要
- 安全な接続を確立することが要件
正解の選択肢と解説
正解: D. Direct Connect + VPN (ハイブリッド接続)
- Direct Connect は 低レイテンシー・高帯域幅・安定したネットワークを提供するが、トラフィックは通常暗号化されない。
- IPSec VPN を Direct Connect と併用することで、暗号化された通信 (セキュアトンネル) を確立できる。
- VPN を同じ VGW (仮想プライベートゲートウェイ) にアタッチすることで、冗長性とセキュリティが確保される。
- この構成は 「Direct Connect + VPN (ハイブリッド接続)」 と呼ばれ、AWS の推奨ベストプラクティスのひとつ。
不正解の選択肢の理由
- A. Route 53 ヘルスチェック + DNS フェイルオーバー
- 可用性向上には役立つが、暗号化やセキュリティ強化にはならないため要件を満たさない。
- B. 別キャリアで 2 本目の Direct Connect
- 冗長化 (高可用性) には有効だが、通信の暗号化は解決できない。
- C. LAG (Link Aggregation Group)
- 帯域幅の拡張・冗長化には役立つが、セキュリティ対策には不十分。
- LAG は「可用性 + 性能」の改善のみ。
SAP試験で押さえておくべきポイント
- Direct Connect
- セキュリティは物理専用線の性質に依存し、暗号化を保証しない。
- 機密データや規制要件がある場合は VPN 併用が必須。
- Direct Connect + VPN (ハイブリッド接続)
- DX の安定性 + VPN の暗号化を組み合わせた構成。
- 冗長性・セキュリティ・コンプライアンス要件をすべて満たせる。
- 試験トリック
- 「高可用性を高める選択肢 (BやC)」と「暗号化を伴う選択肢 (D)」が並ぶ → 本問のキーワードは **「安全な接続」**なので D を選ぶ。
- Route 53 や LAG は補助的要素であり、暗号化が要求される場合は VPN 併用が正解パターン。
👉 この問題は 「Direct Connect + VPN でセキュアな接続を確立」 を問う典型的な設問です。
次は 問題7(多分 Organizations / SCP 系 or S3 暗号化系) を整理してみますか?
了解しました!問題7 を指定フォーマットで整理しました ✅
問題文
AWS Organizations は、企業が複数の AWS アカウントを管理できるようにします。
この組織は、ルート OU の下に Research と DataOps という 2 つの OU があります。
規制上の制限のため、企業は すべてのリソースを ap-northeast-1 リージョン内にデプロイする必要があります。
さらに、組織は、DataOps OU にデプロイされた EC2 インスタンスに指定されたインスタンスタイプのセットを使用する必要があります。
ソリューションアーキテクトは、これらの制約に準拠するソリューションを実装する責任があります。
ソリューションの運用効率は最大化し、継続的なメンテナンスは最小限に抑える必要があります。
これらの基準を満たすアクションの組み合わせを選択してください。(2つ選択)
選択肢
A. DataOps OU の下で 1 つのアカウントに IAM ロールを作成します。特定のインスタンスタイプへのアクセスを制限するために、ロールのインラインポリシーで ec2:InstanceType 条件キーを使用します。
B. ルート OU の下にあるすべてのアカウントで IAM ユーザーを作成します。各ユーザーのインラインポリシーで aws:RequestedRegion 条件キーを使用し、ap-northeast-1 以外のすべての AWS リージョンへのアクセスを制限します。
C. SCP を作成します。aws:RequestedRegion 条件キーを使用して、ap-northeast-1 以外のすべての AWS リージョンにアクセスを制限します。SCP をルート OU に適用します。
D. SCP を作成します。ec2:Region 条件キーを使用して、ap-northeast-1 以外のすべての AWS リージョンにアクセスを制限します。ルート OU、DataOps OU、および Research OU に SCP を適用します。
E. SCP を作成します。ec2:InstanceType 条件キーを使用して、特定のインスタンスタイプにアクセスを制限します。SCP を DataOps OU に適用します。
問題文の要件の概要
- 全リソースを ap-northeast-1 のみに制限する必要がある。
- DataOps OU において、使用可能な EC2 インスタンスタイプを制限する必要がある。
- 組織レベルで制御し、運用効率を高めつつメンテナンスを最小化する必要がある。
正解の選択肢と解説
正解: C と E
- C.
aws:RequestedRegionを用いた SCP をルート OU に適用- 組織全体を対象に「ap-northeast-1 のみ利用可能」とする制御を一括で実施可能。
- OU 単位ではなくルート OU に適用することで、全アカウントに強制できる。
- 運用効率が高く、規制遵守に最適。
- E.
ec2:InstanceTypeを用いた SCP を DataOps OU に適用- DataOps OU 配下のアカウントに対してのみ、インスタンスタイプ制限を適用できる。
- Research OU には影響しないため、要件通り OU ごとに異なる制御が可能。
不正解の選択肢の理由
- A. IAM ロールにインラインポリシー
- 単一アカウント内のみの制御となり、OU 全体に反映できない。
- IAM ロールを使わないユーザーやルートユーザーには効果がない。
- B. 各アカウントで IAM ユーザーにポリシー適用
- IAM ユーザー単位での運用はスケーラビリティがなく、管理が煩雑。
- ユーザーを追加するたびに手動で設定する必要があるため運用効率が低い。
- D.
ec2:Regionを使用ec2:Regionは一部 EC2 API にしか効かず、他の AWS サービスをブロックできない。- リージョン全体の制御には
aws:RequestedRegionを使う必要がある。
SAP試験で押さえておくべきポイント
- SCP (Service Control Policy)
- IAM ポリシーは「アカウント内ユーザー/ロールへの権限付与」
- SCP は「アカウントや OU 全体への制御(上限設定)」 → 組織単位での強制力を持つ。
- リージョン制御
aws:RequestedRegionが正しいキー。ec2:Regionは誤り(範囲が限定的)。
- インスタンスタイプ制御
ec2:InstanceTypeを条件キーに用いる。- OU 単位で適用することで組織的なガバナンスを確保できる。
- 試験トリック
- 「IAM ユーザー/ロール単位」ではなく「SCP による OU/組織単位での管理」が答えになりやすい。
aws:RequestedRegionとec2:InstanceTypeの使い分けを確実に覚えておく。
👉 この問題は 「SCP を使ってリージョン制御とインスタンスタイプ制御を OU 単位で実施する」 というパターンです。
次は 問題8 も整理してみますか?
