助け合いフォーラム

AWS

AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 36965
問題を開く
ある国際的な教育機関では、オンプレミスで運用中の学習管理システムをAWSクラウド上に移行することを検討している。同機関のセキュリティポリシーにより、AWSアカウントで使用できるリージョンはeu-west-2(ロンドン)のみに制限する必要があり、また、学習管理システムを運用するVPCはインターネットから隔離されていなければならない。これらの要件を満たすことのできるソリューションはどれか。(2つ選べ)

正解

AWS OrganizationsのSCPを用いて、指定したリージョン(eu-west-2)以外へのアクセスの拒否設定と、VPCのインターネットへの接続の拒否設定を行う

AWS Control Towerのガードレールを用いて、指定したリージョン(eu-west-2)以外へのアクセスの拒否設定と、VPCのインターネットへの接続の拒否設定を行う

解説

本設問の要件は、「使用できるリージョンを制限すること」と「VPCのインターネットアクセスを禁止すること」です。

AWS Organizationsのサービスコントロールポリシー(Service Control Policy:SCP)を用いることで、組織に属しているOU(Organizational Unit)またはAWSアカウントに対して、利用できるAWSサービスやアクションを制限することができます。SCPを用いることで、本設問の要件を満たす設定を行うことができます。

また、AWS Control Towerで提供されているガードレール(コントロールとも呼ばれます)を用いても、本設問の要件を満たす設定を行うことができます。
ガードレールとは、AWSにおけるベストプラクティスに基づいた構成や設定、ルールの組み合わせが事前定義されたものです。管理者は、セキュリティやコンプライアンスの要件にあわせてこれらを選択し適用することで、各アカウントに対する設定や適用するルールにばらつきが生じることを防ぎ、統制のとれたマルチアカウント環境を容易に展開することができます。

本設問の要件を満たすために適切なガードレールは、データレジデンシーガードレールです。データレジデンシーガードレールは、データの保存場所や処理場所に関する制限をかけることを主な目的としたガードレールです。このガードレールを用いることで、特定のリージョン以外の使用を禁止したり、VPCをインターネットから隔離するといった設定が可能です。

したがって正解は、
・AWS OrganizationsのSCPを用いて、指定したリージョン(eu-west-2)以外へのアクセスの拒否設定と、VPCのインターネットへの接続の拒否設定を行う
・AWS Control Towerのガードレールを用いて、指定したリージョン(eu-west-2)以外へのアクセスの拒否設定と、VPCのインターネットへの接続の拒否設定を行う
です。

その他の選択肢については、以下のとおりです。

・AWS Shield Advancedを使用して、指定したリージョン(eu-west-2)以外へのアクセスの拒否設定と、VPCのインターネットへの接続の拒否設定を行う
AWS Shield は、DDoS攻撃からの保護に特化したサービスです。使用できるリージョンの制限やVPCのインターネットアクセス制御とは直接関係がないため、誤りです。

・Amazon VPCの設定で、指定したリージョン(eu-west-2)以外へのアクセスの拒否設定を行う。サブネットのルートテーブルの設定で、インターネットゲートウェイへのルーティングを行わないようにする
ルートテーブルの設定によりネットワークトラフィックの制御を行うことはできますが、リージョン全体のアクセス制御を行うことはできません。したがって、誤りです。

・AWS Systems Managerを使用して、指定したリージョン(eu-west-2)以外で稼働しているサービスやインスタンスに対する操作に対する拒否設定と、VPCのインターネットへの接続の拒否設定を行う
AWS Systems Managerは、複数のAWSリソースをグループ化し、グループ内リソースの運用データの一元化や運用タスクの自動化などができる運用管理サービスです。使用できるリージョンの制限やVPCのインターネットアクセス制御とは直接関係がないため、誤りです。

参考

【AWS Control Tower】
AWS Control Towerは、AWSにおけるベストプラクティスに基づいた、セキュアなマルチアカウント環境(ランディングゾーンと呼ばれます)のセットアップを自動化するマネージドサービスです。

Control Towerでは、AWSにおけるベストプラクティスに基づいた構成や設定、ルールの組み合わせをガードレール(コントロールとも呼ばれます)として提供しています。
これらのガードレール(コントロール)は、以下の3つのタイプに分類されます:
・予防コントロール.....対象の操作を実施できないようにする
特定のアクションやリソースの利用を事前に制限することで、セキュリティポリシーやコンプライアンスに違反する動作を防ぎます。Control TowerがOrganizationsのSCPを利用することで、特定のサービスやAPI操作を組織全体で禁止することができます。
・検出コントロール.....リソースが作成された後に監視し、違反を検知して通知する
AWSリソースやアクションが実行された後にその内容を監視し、ポリシー違反や異常な動作を検出します。Control TowerがAWS Configルールを利用することで、リソースがコンプライアンスに違反していないかをチェックすることができます。
・プロアクティブコントロール.....CloudFormationでルールに沿ったリソースのみを作成可能にする
CloudFormationでリソースが作成される前に、事前に定義されたポリシーやルールに適合しているかどうかを確認し、違反しているリソースが作成されるのを防ぎます。CloudFormationでプロビジョニングする前にリソースをチェックし、ポリシー違反のリソースを修正またはデプロイを防ぐことができます。

管理者は、セキュリティやコンプライアンスの要件にあわせてこれらを選択し適用することで、各アカウントに対する設定や適用するルールにばらつきが生じることを防ぎ、統制のとれたマルチアカウント環境を容易に展開することができます。

例えば、データレジデンシーガードレールは、データの保存や処理ができるリージョンに制限をかけることを主な目的とした予防コントロールです。このガードレールを用いることで、特定のリージョン以外の使用を禁止したり、VPCをインターネットから隔離するといった設定が可能です。これにより、企業のコンプライアンス要件や国際的な法規制などに準拠した環境を構築することができます。

AWSクラウド上にセキュアなマルチアカウント環境を構築するためには、さまざまなAWSサービス(例: AWS Organizations、AWS Config、AWS CloudFormation等)を組み合わせて実現する必要があります。Control Towerを使用することで、これらのサービスの有効化と構成が自動的に行われ、環境構築の手間を軽減できます。
上に戻る

AWS OrganizationsのSCPについて

公開日 2024/09/12

AWS OrganizationsのSCPを用いて、指定したリージョン(eu-west-2)以外へのアクセスの拒否設定と、VPCのインターネットへの接続の拒否設定を行う

上記の選択肢が正解となっていますが、AWS OrganizationsのSCPを用いてVPCのインターネットへの接続の拒否設定を行うことはできない認識でいます。できるのでしょうか?
また、SCPを用いるのは指定したリージョン以外へのアクセスの拒否設定だけで、VPCのインターネットへの接続の拒否設定を行うのはSCPと関係がないのであれば一文にまとめるべきではないのではないでしょうか?


n nnomiy

2024/09/12 18:48

追記 Amazon VPCの設定で、指定したリージョン(eu-west-2)以外へのアクセスの拒否設定を行う。サブネットのルートテーブルの設定で、インターネットゲートウェイへのルーティングを行わないようにする 上記選択肢が間違いで解説に「ルートテーブルの設定によりネットワークトラフィックの制御を行うことはできますが、リージョン全体のアクセス制御を行うことはできません。したがって、誤りです。 」とあります。 リージョン全体のアクセス制御はVPCの設定でおこなっているため、解説に納得が出来ません。何故間違いなのか詳しく解説していただけないでしょうか?

2024/09/13 10:52

AWS OrganizationsのSCPを用いてVPCのインターネットへの接続の拒否設定を行うことはできない認識でいます。

https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps_examples_vpc.html#example_vpc_2
これは違いますか?

上記選択肢が間違いで解説に「ルートテーブルの設定によりネットワークトラフィックの制御を行うことはできますが、リージョン全体のアクセス制御を行うことはできません。したがって、誤りです。
」とあります。
リージョン全体のアクセス制御はVPCの設定でおこなっているため、解説に納得が出来ません。

VPCのアクセス制御機能には、ネットワークACLとセキュリティグループがありますが、どちらも他のリージョンへのアクセス拒否設定はできません。(基本的にIPアドレスベースの制御です)


コメント

n nnomiy

2024/09/15 02:41

ありがとうございます、理解出来ました!

この返信に対して
コメントを記入できます

この投稿に対して返信しませんか?