WEB問題集
ある金融グループは AWS Organizations で 80 アカウントを管理しています。監査部門は各アカウントの CloudTrail イベントを単一の集中ログアカウントに集約し、改ざん不可で長期保存することを求めています。さらに、セキュリティチームが Athena 互換 SQL でクエリを実行し、複数年にわたるイベントを横断分析できる必要があります。運用負荷を最小化しつつ要件を満たす方法はどれですか。
正解:A
正解の根拠
組織証跡 (Organization Trail) は、Organizations の管理アカウントで一度有効化するだけで、すべての既存および新規メンバーアカウントの管理イベントを自動的に取り込みます。送信先を集中ログアカウントの S3 バケットにし、Object Lock をコンプライアンスモードで構成すれば改ざん不可の長期保存が実現します。CloudTrail Lake はマネージド型の監査データレイクで、Athena 互換 SQL を直接実行でき、追加 ETL なしで横断分析できます。
| 要素 | 選定理由 |
|---|---|
| Organization Trail | 新規アカウント追加時の自動取り込み |
| S3 Object Lock (Compliance) | 削除・上書きを完全に禁止 |
| CloudTrail Lake | マネージド SQL 分析、最大 7 年保持 |
不正解の理由
- B: 個別証跡では新規アカウント追加時に毎回手動構成が必要となり、運用負荷が大きく増加します。
- C: バージョニングだけでは特権ユーザーによる完全削除を防げず、改ざん不可要件を満たしません。
- D: AWS Config は構成変更を扱うサービスで、CloudTrail の API イベント全量は取得できません。
ある製造企業は AWS Control Tower でランディングゾーンを構築しており、Account Factory で新規アカウントを払い出しています。事業部から「Production OU 配下のアカウントでは ap-northeast-1 と us-east-1 以外のリージョンを使用禁止にしたい」という要望があります。既存の予防的コントロールを最小限の変更で実現する方法はどれですか。
正解:B
正解の根拠
SCP (Service Control Policy) は予防的コントロールであり、Organizations 配下のアカウントで実行される API 呼び出しそのものを拒否できます。aws:RequestedRegion 条件キーで許可リージョンを定義し、IAM や Route 53 などのグローバルサービスを NotAction で除外することがベストプラクティスです。
{
"Effect": "Deny",
"NotAction": ["iam:*","route53:*","cloudfront:*","support:*"],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": ["ap-northeast-1","us-east-1"]
}
}
}不正解の理由
- A: IAM ポリシーは個別ユーザーやロールに対する許可制御で、ルート資格情報やアカウント横断の包括拒否には不向きです。
- C: 発見的コントロールは事後対応のため、リソースが一時的に作成されてしまい予防になりません。
- D: VPC エンドポイントポリシーは VPC 経由の特定 API のみが対象で、コンソールや外部からの呼び出しは制限できません。
ある SaaS 企業は IAM Identity Center を導入し、外部 IdP として Okta を SAML 2.0 で連携しています。50 のメンバーアカウントごとに「DevOps」「ReadOnly」「Billing」の 3 つの権限セットを配布する必要があり、グループは Okta 側で管理されています。最も運用負荷が低い割当方法はどれですか。
正解:C
正解の根拠
IAM Identity Center は SAML 認証に加え SCIM 2.0 によるユーザー/グループの自動プロビジョニングをサポートします。Okta から SCIM 同期されたグループに対して権限セットをアカウント単位または OU 単位で割り当てれば、新規アカウントや異動が発生しても割当ルールが維持され、追加作業はほぼ不要です。
| 機能 | 役割 |
|---|---|
| SAML 2.0 | サインイン認証 |
| SCIM 2.0 | ユーザー/グループの自動同期 |
| Permission Set | 各アカウントに同一権限を再現 |
不正解の理由
- A: アカウント数 × 3 ロールを手動管理することになり、規模拡大に伴い破綻して運用負荷が増大します。
- B: IAM ユーザーの共有はベストプラクティス違反で、長期認証情報の流出リスクが大きく高まります。
- D: AD と Okta の二重管理になり、Identity Center の SCIM 同期に比べ運用が複雑になります。
ある小売企業は、5 つのアカウントから構成される Organizations を運営しています。共有サービス VPC 内の Microsoft AD と PrivateLink エンドポイントを、他 4 アカウントのワークロード VPC からプライベートに利用させたいと考えています。VPC ピアリング数を増やさず、最も運用しやすく拡張性の高い方法はどれですか。
正解:D
正解の根拠
Transit Gateway (TGW) はハブ・アンド・スポーク型のネットワークハブで、AWS RAM を介して Organizations 内で共有できます。ワークロード VPC を TGW にアタッチし、共有サービス VPC へのルートのみを TGW ルートテーブルで伝播することで、VPC 間の直接ピアリングを排除しつつ AD/PrivateLink への到達性を確保できます。アカウント追加時は新しい VPC を TGW にアタッチするだけで線形に拡張できます。
| 選択 | スケール特性 |
|---|---|
| VPC ピアリング | N(N-1)/2 で接続数が爆発 |
| TGW + RAM | VPC 数に対し線形で増加 |
不正解の理由
- A: VPC 数が増えるたびにメッシュ接続が指数関数的に増え、運用コストが過大になります。
- B: AD トラフィックをインターネット経由にすることはセキュリティ上不適切で、要件のプライベート接続にも反します。
- C: VPN 経由の AD 接続は遅延と運用が増え、PrivateLink のメリットも活かせません。
ある政府系機関は AWS Organizations の master アカウント直下に Security OU と Workloads OU を持ちます。Workloads OU 配下のすべてのアカウントで、IAM ユーザーが MFA を有効化していない場合は読み取り操作以外を拒否したいと考えています。例外として「Break-Glass」ロールだけは制限を受けないようにします。最適な方法はどれですか。
正解:A
正解の根拠
SCP は予防的ガードレールで、グローバル条件キー aws:MultiFactorAuthPresent を用いれば MFA 未認証セッションのアクションを拒否できます。aws:PrincipalArn による StringNotLike 例外を組み合わせることで、緊急用 Break-Glass ロールを除外できます。
{
"Effect": "Deny",
"NotAction": ["*:Get*","*:List*","*:Describe*"],
"Resource": "*",
"Condition": {
"BoolIfExists": {"aws:MultiFactorAuthPresent": "false"},
"StringNotLike": {"aws:PrincipalArn": "arn:aws:iam::*:role/BreakGlass*"}
}
}不正解の理由
- B: パスワードポリシーは MFA 自体を必須化できず、API 呼び出しレベルで拒否することもできません。
- C: AWS Config は発見的で、違反検知までの間に書き込みが許可されてしまうため予防になりません。
- D: Service Catalog のベースライン配布は強制力がなく、手動デプロイ漏れが発生する可能性があります。