AIF-C01#11(security-governance)
ある企業が、Amazon BedrockでホストされているMLモデルをファインチューニング(微調整)したいと考えています。この企業は、VPC内のプライベートデータベースに保存されている独自の機密データを使用したいと考えており、データは会社のプライベートネットワーク内に留まる必要があります。 この要件を満たすソリューションはどれですか?
正解:C
正解の根拠
VPC 内のプライベートデータベースから機密データを Bedrock に渡してファインチューニングする場合、データがインターネットに出ないことが必須要件です。AWS PrivateLink で Bedrock 用 Interface VPC エンドポイントを作成すれば、API 通信はすべて AWS プライベートネットワーク内に閉じ、外部公開を回避できます。これがネットワーク要件を満たす唯一の選択肢です。
制御層別の役割
| 制御 | 機能 |
|---|---|
| PrivateLink | ネットワーク経路の隔離 |
| IAM サービスロール | 主体ベースの認可 |
| IAM リソースポリシー | リソース側の認可 |
| KMS 暗号化 | データの暗号保護 |
不正解の理由
- A: IAM サービスロールは認可制御の手段で、ネットワーク経路をプライベート化する機能は提供していません。
- B: IAM リソースポリシーはアクセス権限管理の仕組みで、通信経路をインターネットから隔離する役割は果たしません。
- D: KMS はデータの暗号化に有効ですが、ネットワーク自体をプライベート化する仕組みではありません。
コメント