Question#59(ANS-C01)
ある企業は、50のAWSアカウントにわたるVPCを持ち、AWS Organizationsを使用しています。企業はウェブフィルタリングを実装したいと考えています。トラフィックのフィルタリング要件はすべてのVPCで同一です。ネットワークエンジニアは、AWS Network Firewallを使用する予定です。ネットワークエンジニアは、ウェブフィルタリングに必要なファイアウォールポリシーとルールグループの数を最小化するソリューションを実装する必要があります。
この要件を満たすステップの組み合わせはどれですか?(3つ選択)
(3つ選択)
正解:A, B, E
管理アカウントに単一のファイアウォールポリシーとルールグループを作成(例:aws network-firewall create-rule-group --type STATEFUL --rule-group-name my-web-filter --rules 'pass http $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Block malware"; http_uri; content:".malware.com"; sid:1000001;)')。ウェブフィルタリング(例:悪意ドメインブロック)を1セットで定義し、RAMで共有。ポリシー数とルールグループ数を最小化(https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)。 正解の理由: 単一ポリシー/ルールグループで管理効率化。必須。 RAMで管理アカウントのポリシー/ルールグループを50アカウントに共有(例:aws ram create-resource-share --name my-policy-share --resource-arns arn:aws:network-firewall:region:account:firewall-policy/my-policy --principals arn:aws:organizations::account:organization/o-12345678)。各アカウントは共有ポリシーをファイアウォールに適用。ポリシー作成不要で、最小化を実現(https://docs.aws.amazon.com/network-firewall/latest/developerguide/sharing.html)。 正解の理由: RAM共有でポリシー数最小化。スケーラブル。 RAMでOrganizations内の共有を有効化(例:aws ram enable-sharing-with-organizations)。これにより、Organizationsの全アカウント(50)にポリシー/ルールグループを一括共有可能。前提条件で、共有設定を簡素化(https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)。 正解の理由: Organizations共有を有効化し、をサポート。
コメント