【SAA-C03】WEB問題集：セキュアなアーキテクチャの設計編

SAA-C03#1(Secure)

企業がAWS Organizationsを使用して異なる部門の複数のAWSアカウントを管理しています。管理アカウントにはプロジェクトレポートを含むAmazon S3バケットがあります。企業は、このS3バケットへのアクセスをAWS Organizationsの組織内のアカウントのユーザーのみに制限したいと考えています。最小の運用オーバーヘッドでこの要件を満たすソリューションはどれですか？

A. 組織IDを参照するaws:PrincipalOrgIDグローバル条件キーをS3バケットポリシーに追加する
B. 各部門用の組織単位（OU）を作成する。aws:PrincipalOrgPathsグローバル条件キーをS3バケットポリシーに追加する
C. AWS CloudTrailを使用してCreateAccount、InviteAccountToOrganization、LeaveOrganization、RemoveAccountFromOrganizationイベントを監視する。それに応じてS3バケットポリシーを更新する
D. S3バケットへのアクセスが必要な各ユーザーにタグを付ける。aws:PrincipalTagグローバル条件キーをS3バケットポリシーに追加する

正解と解説ディスカッション 0

正解：A

aws:PrincipalOrgIDは、AWS Organizationsの組織全体へのアクセスを制御するグローバル条件キーです。この問題の最適解である理由：

単一のポリシー変更のみ：S3バケットポリシーに条件キーを1つ追加するだけ
自動的にすべてのメンバーアカウントをカバー：組織に加入/脱退するアカウントが自動的に反映
最小の運用オーバーヘッド：個別アカウントIDの管理やタグ付けが不要
条件キー例："aws:PrincipalOrgID": "o-xxxxxxxxxx"

他の選択肢について：

B. OU作成とPrincipalOrgPathsは部門別制御には有効ですが、組織全体の許可にはPrincipalOrgIDがシンプルです。

C. CloudTrail監視＋ポリシー更新は運用オーバーヘッドが大きく、リアルタイム性もありません。

D. ユーザータグ管理は運用が煩雑で、すべてのユーザーへのタグ付けが必要です。

SAA-C03#2(Secure)

アプリケーションがVPC内のAmazon EC2インスタンスで実行されています。アプリケーションはAmazon S3バケットに保存されたログを処理します。EC2インスタンスはインターネット接続なしでS3バケットにアクセスする必要があります。Amazon S3へのプライベートネットワーク接続を提供するソリューションはどれですか？

A. S3バケットへのゲートウェイVPCエンドポイントを作成する
B. CloudWatch Logsにログをストリーミングする。ログをS3バケットにエクスポートする
C. S3アクセスを許可するインスタンスプロファイルをAmazon EC2に作成する
D. Amazon API Gateway APIを作成してプライベートリンクでS3エンドポイントにアクセスする

正解と解説ディスカッション 0

正解：A

ゲートウェイVPCエンドポイントは、VPC内のリソースからS3やDynamoDBへのプライベート接続を提供する機能です。主な特徴：

インターネット不要：トラフィックがAWSネットワーク内に留まる
無料：ゲートウェイエンドポイントは追加料金なし（S3とDynamoDBのみ）
ルートテーブルに追加：自動的にS3宛てのトラフィックがエンドポイント経由に
セキュリティ向上：パブリックインターネットを完全にバイパス

他の選択肢について：

B. CloudWatch Logs経由のルーティングは複雑で、プライベート接続の直接的な解決策ではありません。

C. インスタンスプロファイル（IAMロール）は認証・認可の仕組みで、ネットワーク接続は別途必要です。

D. API Gatewayはプライベート接続のためのツールではなく、API作成用です。

SAA-C03#3(Secure)

企業にAmazon EC2インスタンスで実行され、Amazon Auroraデータベースを使用するアプリケーションがあります。EC2インスタンスはローカルファイルに保存されたユーザー名とパスワードを使用してデータベースに接続します。企業は認証情報管理の運用オーバーヘッドを最小限にしたいと考えています。この目標を達成するためにソリューションアーキテクトは何をすべきですか？

A. AWS Secrets Managerを使用する。自動ローテーションを有効にする
B. AWS Systems Manager Parameter Storeを使用する。自動ローテーションを有効にする
C. AWS Key Management Service（AWS KMS）暗号化キーで暗号化されたオブジェクトを保存するAmazon S3バケットを作成する。認証情報ファイルをS3バケットに移行する。アプリケーションをS3バケットにポイントする
D. 各EC2インスタンス用に暗号化されたAmazon EBSボリュームを作成する。新しいEBSボリュームを各EC2インスタンスにアタッチする。認証情報ファイルを新しいEBSボリュームに移行する。アプリケーションを新しいEBSボリュームにポイントする

正解と解説ディスカッション 0

正解：A

AWS Secrets Managerは、データベース認証情報の管理に特化したサービスで、自動ローテーション機能を提供します。この問題に最適な理由：

自動ローテーション：
- RDS、Aurora、DocumentDB、Redshiftとのネイティブ統合
- スケジュールに基づく自動パスワード更新
- アプリケーション側のコード変更なし
KMSによる暗号化：保存時に自動的に暗号化
きめ細かいアクセス制御：IAMポリシーで制御
プログラム的取得：アプリケーションがAPIでシークレットを取得
監査：CloudTrailで全アクセスを記録

他の選択肢について：

B. Systems Manager Parameter Storeの標準ティアはネイティブな自動ローテーション機能を持ちません（Lambdaで自作が必要）。Secrets Managerの方が適切です。

C/D. S3やEBSに認証情報を保存する方法は、ローテーション機能がなく、運用オーバーヘッドも大きいです。

SAA-C03#4(Secure)

企業がAWSインフラストラクチャで毎月のメンテナンスを実行しています。これらのメンテナンス活動中、企業は複数のAWSリージョンにわたるAmazon RDS for MySQLデータベースの認証情報をローテーションする必要があります。最小の運用オーバーヘッドでこの要件を満たすソリューションはどれですか？

A. 認証情報をAWS Secrets Managerにシークレットとして保存する。必要なリージョンに対してマルチリージョンシークレットレプリケーションを使用する。Secrets Managerをスケジュールでシークレットをローテーションするように構成する
B. 認証情報をセキュア文字列パラメータを作成してAWS Systems Managerにシークレットとして保存する。必要なリージョンに対してマルチリージョンシークレットレプリケーションを使用する。Systems Managerをスケジュールでシークレットをローテーションするように構成する
C. サーバーサイド暗号化（SSE）が有効なAmazon S3バケットに認証情報を保存する。Amazon EventBridge（Amazon CloudWatch Events）を使用してAWS Lambda関数を呼び出し、認証情報をローテーションする
D. AWS Key Management Service（AWS KMS）マルチリージョンカスタマー管理キーを使用してシークレットを暗号化する。Amazon DynamoDBグローバルテーブルにシークレットを保存する。AWS Lambda関数を使用してDynamoDBからシークレットを取得する。RDS APIを使用してシークレットをローテーションする

正解と解説ディスカッション 0

正解：A

AWS Secrets Manager + マルチリージョンレプリケーションは、複数リージョンにわたるDB認証情報管理の最適解です。主な機能：

マルチリージョンシークレット：プライマリシークレットを他のリージョンに自動レプリケーション
自動ローテーション：RDS、Aurora、DocumentDB、Redshiftのネイティブ統合
スケジュールベース：30日、60日、90日など指定間隔でローテーション
KMS暗号化：保存時に自動的に暗号化
最小の運用オーバーヘッド：カスタムLambda不要、AWSが全て管理

他の選択肢について：

B. Systems Manager Parameter Storeはマルチリージョンレプリケーションもネイティブ自動ローテーションもサポートしていません（自作が必要）。

C. S3 + EventBridge + Lambdaはカスタム実装が大量に必要で、運用オーバーヘッドが大きいです。

D. KMS + DynamoDB + Lambdaのカスタム実装は複雑すぎ、Secrets Managerが専用ソリューションです。

SAA-C03#5(Secure)

企業がAWSに最近移行し、本番VPCの内外のトラフィックを保護するソリューションを実装したいと考えています。企業のオンプレミスデータセンターには検査サーバーがありました。検査サーバーはトラフィックフロー検査やトラフィックフィルタリングなどの特定の操作を実行していました。企業はAWSクラウドで同じ機能を実現したいと考えています。この要件を満たすソリューションはどれですか？

A. 本番VPCのトラフィック検査とフィルタリングにAmazon GuardDutyを使用する
B. 本番VPCからのトラフィックをトラフィックミラーリングでミラーリングしてトラフィック検査とフィルタリングを行う
C. AWS Network Firewallを使用して本番VPCのトラフィック検査とフィルタリングに必要なルールを作成する
D. AWS Firewall Managerを使用して本番VPCのトラフィック検査とフィルタリングに必要なルールを作成する

正解と解説ディスカッション 0

正解：C

AWS Network Firewallは、VPCのネットワークトラフィックに対してステートフル検査・フィルタリング・侵入防止機能を提供するマネージドサービスです。主な機能：

ステートフル検査：接続状態を追跡して適切な判断
トラフィックフィルタリング：L3-L7のルールベースフィルタリング
侵入防止システム（IPS）：悪意のあるトラフィックをブロック
Suricata互換：オープンソースIPSルールを使用可能
ドメインフィルタリング：FQDNベースのアクセス制御
マネージド：オンプレミスの検査サーバーの代替として最適

他の選択肢について：

A. GuardDutyは脅威検出サービスで、トラフィックフィルタリング機能はありません。

B. トラフィックミラーリングは監視・分析用で、フィルタリング機能はありません。

D. Firewall Managerは複数アカウントのファイアウォールポリシー管理ツールで、Network Firewall自体を管理します（単独では検査機能を提供しません）。

SAA-C03#6(Secure)

企業が新しいビジネスアプリケーションを実装しています。アプリケーションは2つのAmazon EC2インスタンスで実行され、ドキュメントストレージ用にAmazon S3バケットを使用します。ソリューションアーキテクトはEC2インスタンスがS3バケットにアクセスできるようにする必要があります。この要件を満たすためにソリューションアーキテクトは何をすべきですか？

A. S3バケットへのアクセスを付与するIAMロールを作成する。ロールをEC2インスタンスにアタッチする
B. S3バケットへのアクセスを付与するIAMポリシーを作成する。ポリシーをEC2インスタンスにアタッチする
C. S3バケットへのアクセスを付与するIAMグループを作成する。グループをEC2インスタンスにアタッチする
D. S3バケットへのアクセスを付与するIAMユーザーを作成する。ユーザーアカウントをEC2インスタンスにアタッチする

正解と解説ディスカッション 0

正解：A

IAMロールは、EC2インスタンスにAWSリソースへのアクセスを付与するベストプラクティス手段です。主な利点：

一時的な認証情報：EC2メタデータサービスから自動取得、自動ローテーション
ハードコーディング不要：アクセスキーをコードに埋め込む必要なし
最小権限の原則：必要なS3アクションのみに権限を限定
インスタンスプロファイル経由でアタッチ：EC2インスタンスに関連付け
マネジメント容易：ロール変更で全インスタンスに反映

他の選択肢について：

B. IAMポリシーはEC2インスタンスに直接アタッチできません（IAMユーザー、グループ、ロールにアタッチ）。

C. IAMグループはIAMユーザーをまとめるもので、EC2にアタッチできません。

D. IAMユーザーは人間向けの長期認証情報で、EC2には不適切（セキュリティリスク）。

SAA-C03#7(Secure)

企業が、Amazon S3バケットに不正な構成変更がないことを確認するためにAWSクラウドデプロイメントをレビューする必要があります。この目標を達成するためにソリューションアーキテクトは何をすべきですか？

A. 適切なルールでAWS Configをオンにする
B. 適切なチェックでAWS Trusted Advisorをオンにする
C. 適切な評価テンプレートでAmazon Inspectorをオンにする
D. Amazon S3サーバーアクセスログをオンにする。Amazon EventBridge（Amazon CloudWatch Events）を構成する

正解と解説ディスカッション 0

正解：A

AWS Configは、AWSリソースの設定変更を記録・評価するサービスで、不正な構成変更の検出に最適です。主な機能：

継続的な設定記録：S3バケットを含むリソースの設定変更をすべて記録
Config Rules：望ましい設定状態を定義し、準拠性を自動評価
- マネージドルール例：s3-bucket-public-read-prohibited、s3-bucket-public-write-prohibited、s3-bucket-ssl-requests-only、s3-bucket-versioning-enabled
設定履歴とタイムライン：誰がいつ変更したかを追跡
自動修復：非準拠リソースの自動修復（Systems Manager Automation統合）

他の選択肢について：

B. Trusted Advisorは一般的なベストプラクティスチェックで、継続的な構成監視には不向きです。

C. Inspectorは脆弱性管理サービスで、S3構成変更検出ではありません。

D. S3アクセスログはオブジェクトアクセスログで、バケット構成変更は記録しません。

SAA-C03#8(Secure)

企業が新しいアプリケーションを起動してAmazon CloudWatchダッシュボードにアプリケーションメトリクスを表示します。企業のプロダクトマネージャーはこのダッシュボードに定期的にアクセスする必要があります。プロダクトマネージャーはAWSアカウントを持っていません。ソリューションアーキテクトは最小権限の原則に従ってプロダクトマネージャーにアクセスを提供する必要があります。この要件を満たすソリューションはどれですか？

A. CloudWatchコンソールからダッシュボードを共有する。プロダクトマネージャーのメールアドレスを入力して共有の手順を完了する。ダッシュボードの共有可能リンクをプロダクトマネージャーに提供する
B. プロダクトマネージャー専用のIAMユーザーを作成する。CloudWatchReadOnlyAccess AWSマネージドポリシーをユーザーにアタッチする。新しいログイン認証情報をプロダクトマネージャーと共有する。正しいダッシュボードのブラウザURLをプロダクトマネージャーと共有する
C. 企業の従業員用のIAMユーザーを作成する。ViewOnlyAccess AWSマネージドポリシーをIAMユーザーにアタッチする。新しいログイン認証情報をプロダクトマネージャーと共有する。プロダクトマネージャーにCloudWatchコンソールに移動してダッシュボードセクションで名前でダッシュボードを見つけるよう依頼する
D. パブリックサブネットに踏み台サーバーをデプロイする。プロダクトマネージャーがダッシュボードにアクセスする必要があるとき、サーバーを起動してRDP認証情報を共有する。踏み台サーバー上で、ブラウザが適切なAWS認証情報でキャッシュされた状態でダッシュボードURLを開くように構成する

正解と解説ディスカッション 0

正解：A

CloudWatchダッシュボードの共有機能は、AWSアカウントを持たない外部ユーザーにダッシュボードへの読み取り専用アクセスを提供する最適な方法です。主な特徴：

AWSアカウント不要：受信者はAWSアカウントを作成する必要がない
最小権限：指定したダッシュボードのみ閲覧可能、他のリソースにはアクセスできない
メールベースの招待：メールアドレスで共有可能
認証方法：
- 特定のメール：受信者専用リンク
- SSOプロバイダー経由：企業のIDPでログイン
- パブリック：認証なしで誰でもアクセス（非推奨）
運用オーバーヘッド最小

他の選択肢について：

B. IAMユーザー作成は管理負担が大きく、権限が過剰です（ViewOnlyでも他のリソースが見える）。

C. IAMユーザーの共有アカウントはセキュリティベストプラクティス違反です。

D. 踏み台サーバー + RDPは過剰設計で、コストとセキュリティリスクが大きいです。

SAA-C03#9(Secure)

企業がAWSにアプリケーションを移行しています。アプリケーションは異なるアカウントにデプロイされています。企業はAWS Organizationsを使用してアカウントを集中管理しています。企業のセキュリティチームは、企業のすべてのアカウントにわたるシングルサインオン（SSO）ソリューションを必要としています。企業はオンプレミスの自己管理Microsoft Active Directoryでユーザーとグループの管理を継続する必要があります。この要件を満たすソリューションはどれですか？

A. AWS IAM Identity CenterコンソールからAWS IAM Identity Center（旧AWS Single Sign-On）を有効にする。AWS Directory Service for Microsoft Active Directoryを使用して企業の自己管理Microsoft Active DirectoryとIAM Identity Centerを接続するために一方向のフォレストトラストまたは一方向のドメイントラストを作成する
B. AWS IAM Identity CenterコンソールからAWS IAM Identity Center（旧AWS Single Sign-On）を有効にする。AWS Directory Service for Microsoft Active Directoryを使用して企業の自己管理Microsoft Active DirectoryとIAM Identity Centerを接続するために双方向のフォレストトラストを作成する
C. AWS Directory Serviceを使用する。企業の自己管理Microsoft Active Directoryとの双方向のトラスト関係を作成する
D. オンプレミスにアイデンティティプロバイダー（IdP）をデプロイする。AWS IAM Identity CenterコンソールからAWS IAM Identity Center（旧AWS Single Sign-On）を有効にする

正解と解説ディスカッション 0

正解：B

AWS IAM Identity Center（旧AWS SSO）+ AWS Managed Microsoft AD + 双方向フォレストトラストの組み合わせが最適です。各コンポーネントの役割：

AWS IAM Identity Center：AWS Organizations全体のSSOを提供
AWS Directory Service for Microsoft AD：AWS側のマネージドAD
双方向フォレストトラスト：
- AWS Managed MS ADがオンプレADのユーザー情報を認証時に参照
- 双方向が必要：IAM Identity Centerがユーザー/グループを検索するため
- 一方向トラストではユーザー検索機能が制限される

※ AWS Single Sign-Onは2022年に「AWS IAM Identity Center」に改名されました。機能は同じです。

他の選択肢について：

A. 一方向トラストではAWS側からオンプレADのユーザー/グループを十分に参照できず、SSOが機能しません。

C. IAM Identity Centerなしの単純なトラストではSSO機能がありません。

D. オンプレIdP（ADFSなど）でも可能ですが、AWS Organizations環境ではIAM Identity Centerがよりシンプルで推奨されます。

SAA-C03#10(Secure)

AWSでウェブアプリケーションをホストしている企業は、すべてのAmazon EC2インスタンス、Amazon RDS DBインスタンス、Amazon Redshiftクラスターがタグで構成されていることを確認したいと考えています。企業はこのチェックの構成と運用の労力を最小化したいと考えています。これを達成するためにソリューションアーキテクトは何をすべきですか？

A. AWS Configルールを使用して適切にタグ付けされていないリソースを定義して検出する
B. Cost Explorerを使用して適切にタグ付けされていないリソースを表示する。手動でこれらのリソースにタグ付けする
C. すべてのリソースで適切なタグ割り当てをチェックするAPI呼び出しを記述する。EC2インスタンスで定期的にコードを実行する
D. すべてのリソースで適切なタグ割り当てをチェックするAPI呼び出しを記述する。Amazon CloudWatchを通じてAWS Lambda関数をスケジュールしてコードを定期的に実行する

正解と解説ディスカッション 0

正解：A

AWS Configルールは、AWSリソースの構成を継続的に評価する自動化されたコンプライアンスチェックツールです。タグ準拠チェックに最適な理由：

マネージドルール：
- required-tagsルール：特定のタグが付いているかチェック
- リソースタイプごとに設定可能（EC2、RDS、Redshiftなど）
継続的評価：リソース作成・変更時に自動的にチェック
非準拠リソースを即座に識別：ダッシュボードで可視化
自動修復オプション：Systems Manager Automationと統合
最小の運用オーバーヘッド：コード不要、GUI設定のみ

他の選択肢について：

B. Cost Explorerはコスト分析用で、タグ付けチェックは主機能ではありません。

C. EC2上での定期実行はインフラ管理と運用オーバーヘッドが大きいです。

D. Lambda + CloudWatchはカスタム実装で、Configより運用オーバーヘッドが大きいです。