Uncategorized

1問1答

 

IAM & アクセス制御

  1. Q: 明示的 Deny と暗黙的 Deny が競合したら?
    A: 明示的 Deny が最優先し、許可は無効になる。
  2. Q: IAM ロールの 信頼ポリシーは何を定義する?
    A: そのロールを 誰が sts:AssumeRole* できるか を定義。
  3. Q: Permissions Boundary の用途は?
    A: 権限の 上限を制限して意図しない権限昇格を防ぐ。
  4. Q: IAM Access Analyzer が検出するのは?
    A: 外部(別 AWS アカウント/パブリック)へアクセスを許可する リソースベースポリシー
  5. Q: IAM Identity Center で外部 IdP を使う要件は?
    A: SAML 2.0 または OIDC 対応 IdP(Okta, Azure AD など)と連携。
  6. Q: Roles Anywhere の特徴は?
    A: オンプレ / 他クラウドの X.509 証明書で IAM ロールを一時取得。
  7. Q: サービスにロールを渡す際に必要な権限は?
    A: iam:PassRole
  8. Q: エンドポイントに aws-us-gov が入る環境は?
    A: AWS GovCloud (US)
  9. Q: Service Control Policy (SCP) の適用単位は?
    A: OU またはアカウント
  10. Q: 条件キー aws:SourceVpce の意味は?
    A: 特定 VPC エンドポイント経由のみ許可

AWS KMS

  1. Q: 自動ローテーションできる CMK は?
    A: AWS 管理キーとユーザー作成の 対称キー(365 日ごと)。
  2. Q: CreateGrant を使う利点は?
    A: キーポリシーを変えずに 短期・粒度細かなアクセス委譲
  3. Q: 条件 kms:GrantIsForAWSResource = true の目的は?
    A: AWS サービスが自動生成したグラントだけを許可。
  4. Q: カスタムキーストアが必要な場面は?
    A: キーを CloudHSM (FIPS 140-2 Level 3) で完全隔離したい時。
  5. Q: External Key Store (XKS) の典型ユースケースは?
    A: 銀行などが オンプレ HSM にキーを保管しつつ AWS を利用。

Amazon S3

  1. Q: Block Public Access を 1 つでも ON にすると?
    A: その範囲の ACL/ポリシーによるパブリック許可が無効化
  2. Q: SSE-KMS を選ぶ主なメリットは?
    A: キー個別管理・アクセス監査自動ローテーション
  3. Q: Pre-Signed URL が使う署名方式は?
    A: SigV4
  4. Q: S3 アクセスポイント が便利なシナリオは?
    A: 大規模/マルチテナントで個別ポリシーを簡潔化したい場合。
  5. Q: Object Lock (WORM) を有効にする前提は?
    A: バケットの バージョニング有効化

CloudTrail & ロギング

  1. Q: Organization Trail を有効化する利点は?
    A: 全アカウントで 一元設定・無効化不可の強制力。
  2. Q: CloudTrail Insight が検出するのは?
    A: 通常パターンから逸脱した API コールスパイク。
  3. Q: CloudTrail の ログファイル検証は何を提供?
    A: ハッシュ署名で 改ざん検知
  4. Q: Data Events が課金対象になる操作例は?
    A: GetObject(S3)、InvokeFunction(Lambda)など。
  5. Q: CloudTrail Lake の主目的は?
    A: ログを 最長 7 年保持 + SQL で調査

GuardDuty

  1. Q: VPC Flow Logs をデータソースにすると?
    A: ネットワーク脅威検知(ポートスキャン等)が可能。
  2. Q: S3 Protection が検出するのは?
    A: 不審な S3 アクセスパターン
  3. Q: 重大度 “High” の例は?
    A: IAM 資格情報の盗用が検知された場合など。
  4. Q: EKS Runtime Monitoring が使う技術は?
    A: eBPF
  5. Q: マルチアカウントで集中管理するロールは?
    A: GuardDuty 管理アカウント

Security Hub

  1. Q: デフォルト有効の標準は?
    A: AWS Foundational Security Best Practices
  2. Q: カスタムインサイトとは?
    A: 条件で Findings を集約するビュー。
  3. Q: 自動修復ワークフローの代表統合は?
    A: EventBridge → Systems Manager Automation
  4. Q: 跨アカウント統合の前提は?
    A: すべてのアカウントで Security Hub 有効化

Amazon Inspector

  1. Q: Inspector V2 のスキャン対象 3 つは?
    A: EC2、ECR イメージ、Lambda 関数
  2. Q: CVSS 9.8 の脆弱性は重大度いくつ?
    A: Critical
  3. Q: Lambda スキャンのトリガーは?
    A: 新バージョン発行時
  4. Q: SNS へ直接通知するには?
    A: Inspector イベントを EventBridge でルーティング

Amazon Macie

  1. Q: Macie が自動検出するのは?
    A: PII や財務データ 等。
  2. Q: One-time vs Scheduled ジョブの違いは?
    A: 単発実行定期実行か。
  3. Q: 検出抑制はどう行う?
    A: カスタムルールで除外条件を定義。

WAF & Shield

  1. Q: WAF の Default Action “Block” の影響は?
    A: ルールにヒットしないリクエストも すべて拒否
  2. Q: Rate-Based Rule の計測単位は?
    A: 5 分窓の IP 別リクエスト数
  3. Q: Shield Advanced の特典例は?
    A: DDoS コスト保護(拡張費用のクレジット)。

AWS Network Firewall

  1. Q: aws:drop_established の効果は?
    A: 既存コネクションを 即時ドロップ
  2. Q: L7 検査にはどのルールタイプ?
    A: Stateful (Suricata 互換) ルール。
  3. Q: 集中管理で一般的な配置は?
    A: 検査用サブネット + Transit Gateway

Verified Access & Permissions

  1. Q: AWS Verified Access の主目的は?
    A: ゼロトラストで Web アプリを保護
  2. Q: ポリシー評価言語は?
    A: Cedar
  3. Q: Verified Permissions のモデルは?
    A: PBAC (Policy-Based Access Control)

Secrets Manager & Parameter Store

  1. Q: Secrets Manager で自動化できる機能は?
    A: シークレットローテーション Lambda
  2. Q: /prod/db/password のような階層命名の利点は?
    A: 名前空間分離一括操作
  3. Q: Parameter Store Advanced Tier のメリットは?
    A: サイズ上限 64 KB、履歴制限緩和。

Systems Manager

  1. Q: Session Manager の通信ポート要件は?
    A: 443/TCP だけ開放すれば良い。
  2. Q: Patch Manager の“スキャンのみ”とは?
    A: 評価レポート生成のみでパッチは適用しない。

コンテナ & Compute

  1. Q: IRSA の利点は?
    A: Pod 単位で 最小権限 IAM ロールを付与。
  2. Q: ECR で pull だけ許可するアクション群は?
    A: ecr:Get*, ecr:BatchCheckLayerAvailability, ecr:Describe*
  3. Q: Lambda 環境変数を暗号化する手順は?
    A: 関数に KMS キーを関連付け暗号化保存。
  4. Q: サンドボックス強化の機能例は?
    A: Code SigningSnapStart

VPC & ネットワーク

  1. Q: Security Group が “stateful” とは?
    A: 戻りトラフィックを自動許可
  2. Q: Network ACL の評価順序は?
    A: ルール番号昇順で最初にマッチしたもの適用。
  3. Q: VPC Flow Logs の REJECT は何を示す?
    A: SG/NACL/IGW で拒否されたパケット。
  4. Q: Network Firewall と GWLB を並列挿入する利点は?
    A: マネージド FW + サードパーティ IPS を同時活用。
  5. Q: VPC エンドポイントポリシーで S3 を縛るキーは?
    A: s3:ResourceAccount など。

ハイブリッド接続

  1. Q: Direct Connect MACsec が提供するのは?
    A: 物理回線レイヤーの 暗号化 (IEEE 802.1AE)
  2. Q: VPN で静的ルート不要になる条件は?
    A: BGP 動的ルーティング

DB & ストレージ

  1. Q: 暗号化 RDS スナップショット共有の制限は?
    A: 同リージョン & 同アカウント or KMS キー共有が必要。
  2. Q: RDS IAM 認証の弱点は?
    A: 署名トークンが 12 時間で失効
  3. Q: DynamoDB PITR の最短復元粒度は?
    A: 秒単位(最大 35 日前)
  4. Q: Glacier Instant Retrieval の復旧時間は?
    A: ミリ秒レベル

コンテンツ配信

  1. Q: OAC が OAI と異なる点は?
    A: SigV4 + IAM ロールバケット以外のオリジンも保護
  2. Q: Field-Level Encryption の復号場所は?
    A: アプリケーションサーバ側。

監査 & ガバナンス

  1. Q: Config ルール bucket-public-read-prohibited の検出は?
    A: public-read ACL が付与された S3 バケット。
  2. Q: Conformance Pack の利点は?
    A: 複数 Config ルール+修復を 1 テンプレで適用。
  3. Q: Control Tower ガードレール DISALLOW_S3_PUBLIC_ACCESS の仕組みは?
    A: SCP + Config で強制 & 監視。

イベント統合

  1. Q: クロスアカウント EventBridge 共有の方法は?
    A: リソースベースポリシーevents:PutEvents を許可。
  2. Q: EventBridge の個人情報を守る暗号化は?
    A: カスタム KMS キー

モニタリング & インシデント

  1. Q: CloudWatch Logs を SSE-KMS でエクスポートする方法は?
    A: Kinesis Firehose 経由で SSE-KMS を設定。
  2. Q: AWS Detective が関連付ける主なデータは?
    A: VPC Flow Logs, CloudTrail, GuardDuty など。
  3. Q: Incident Manager の自動起動トリガー例は?
    A: SNS, EventBridge, CloudWatch アラーム

ベストプラクティス雑多

  1. Q: SQS SSE 有効化時の追加コストは?
    A: KMS API コール
  2. Q: Organizations 復旧手順に必要な権限は?
    A: organizations:DescribeOrganization
  3. Q: EBS デフォルト暗号化の設定単位は?
    A: アカウント & リージョン
  4. Q: 未関連付け EIP の課金は?
    A: 有料
  5. Q: OpsCenter が自動リンクする関連項目は?
    A: CloudWatch アラーム, Config ルール, Incidents 等。
  6. Q: AWS Artifact で取得できる証明書例は?
    A: SOC 1, ISO 27001 など。
  7. Q: 「キーポリシーが優先」の意味は?
    A: キーポリシーが拒否すれば IAM で許可しても無効
  8. Q: Aurora 暗号化クラスターの必須条件は?
    A: すべてのインスタンスとバックアップが暗号化
  9. Q: Firewall Manager が自動展開できるサービスは?
    A: WAF, Shield Advanced, Network Firewall 等。
  10. Q: Access Analyzer “Policy Validation” が指摘するのは?
    A: ワイルドカードや未使用アクションのリスク。
  11. Q: Trusted Advisor の代表的セキュリティチェックは?
    A: S3 公開バケット, ルートアカウント MFA
  12. Q: cfn-guard の用途は?
    A: IaC テンプレのセキュリティ基準検証
  13. Q: QuickSight Row-Level Security で使う仕組みは?
    A: アクセス許可テーブル
  14. Q: Backup Vault Lock の特徴は?
    A: WORM 保護 & 削除禁止
  15. Q: ECS Task RoleExecution Role の違いは?
    A: TaskRole=アプリ用、ExecutionRole=ECS エージェント用。
  16. Q: Kinesis Data Streams の暗号化 ON/OFF 切替の制約は?
    A: 動的切替可能(再作成不要)。
  17. Q: AWS Glue で暗号化できる 2 つの対象は?
    A: データカタログジョブログ
  18. Q: CodePipeline Artifact Store の既定暗号化方式は?
    A: S3 + SSE-KMS
  19. Q: Step Functions sync: パターンの注意点は?
    A: 最大実行 1 年 & 待機課金増。
  20. Q: 共有責任モデルで顧客側が担う例は?
    A: データ暗号化設定 / IAM 管理 / アプリ脆弱性対策

使い方メモ

  • 赤シート勉強法:質問文だけ読んで即答 ➔ 答え確認。
  • 苦手番号ピックアップ:自分専用ミニテストを作成。
  • 試験直前:間違えた Q だけ 3 周。

健闘を祈っています。ほかに分野別の掘り下げや追加カードが必要でしたらお知らせください!

RELATED POST