AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト-プロフェッショナル
合格に向けて、もっと深く学習する
豊富な問題と詳細なAWSサービス解説を、24時間無料でお試しいただけます
解説
正解はB,Cです。この要件では、特定の国からのアクセスをブロックしつつ、同じ国内の特定IPアドレスからのアクセスは許可する必要があります。AWS WAFの地理的一致ステートメントとIPセットステートメントを組み合わせることで、きめ細かなアクセス制御を実現できます。
選択肢A:CloudFrontの地理的制限機能は国単位でのアクセス制御を提供しますが、特定の国全体をブロックした場合、その国内の特定IPアドレス(運用チーム)を例外として許可することができません。地理的制限は全体的なブロック機能のみを提供し、例外設定の柔軟性がないため不適切です。
選択肢C:AWS WAFの地理的一致ステートメントを使用することで、特定の国からのリクエストを識別してブロックできます。WAFルールでは複数の条件を組み合わせることができるため、地理的条件とIPセット条件を併用して例外処理が可能です。
選択肢B:AWS WAFのIPセットステートメントを使用することで、運用チームの特定IPアドレスを許可リストに登録できます。WAFルールの評価順序を適切に設定することで、地理的ブロックルールより先にIPベースの許可ルールを評価させ、運用チームのアクセスを保護できます。
選択肢D:ネットワークACLはIPアドレスベースのアクセス制御のみを提供し、地理的情報に基づくフィルタリングはできません。また、NACLはステートレスであり、アプリケーション層の脅威(SQLインジェクション、XSS)に対する保護を提供しないため、要件を満たしません。
Amazon EC2
Amazon VPC
AWS WAF
Elastic Load Balancing (ELB)
選択肢A:CloudFrontの地理的制限機能は国単位でのアクセス制御を提供しますが、特定の国全体をブロックした場合、その国内の特定IPアドレス(運用チーム)を例外として許可することができません。地理的制限は全体的なブロック機能のみを提供し、例外設定の柔軟性がないため不適切です。
選択肢C:AWS WAFの地理的一致ステートメントを使用することで、特定の国からのリクエストを識別してブロックできます。WAFルールでは複数の条件を組み合わせることができるため、地理的条件とIPセット条件を併用して例外処理が可能です。
選択肢B:AWS WAFのIPセットステートメントを使用することで、運用チームの特定IPアドレスを許可リストに登録できます。WAFルールの評価順序を適切に設定することで、地理的ブロックルールより先にIPベースの許可ルールを評価させ、運用チームのアクセスを保護できます。
選択肢D:ネットワークACLはIPアドレスベースのアクセス制御のみを提供し、地理的情報に基づくフィルタリングはできません。また、NACLはステートレスであり、アプリケーション層の脅威(SQLインジェクション、XSS)に対する保護を提供しないため、要件を満たしません。
関連サービスの解説
Amazon CloudFrontAmazon EC2
Amazon VPC
AWS WAF
Elastic Load Balancing (ELB)
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 40%
No.17 解説
あるグローバルなeコマース企業は、世界50カ国から1日あたり数万件の注文を受け付けており、Webサイトは8言語に対応しています。同社のWebアプリケーションは、HTTP floodによる攻撃、ボットによる大量アクセス、SQLインジェクション、クロスサイトスクリプティング(XSS)といった複数の脅威に継続的にさらされています。セキュリティチームの分析により、これらの攻撃の大半が特定の3カ国から発生していることが判明しました。そのため、これらの国からのアクセスをブロックする必要があります。ただし、ブロック対象国の1つに所在する外部委託先の運用チームには、引き続きアプリケーションへのアクセスを許可する必要があります。現在のアーキテクチャは、Amazon CloudFrontをオリジンとするApplication Load Balancer(ALB)の背後にあるAmazon EC2インスタンス群で構成されており、AWS WAFが導入されています。Solutions Architectとして、この要件を満たすために最も適切なソリューションの組み合わせはどれですか。(2つ選択してください)
- CloudFrontディストリビューションの地理的制限機能を使用して、ブロック対象国を指定する
- AWS WAFのIPセットステートメントを使用して、運用チームのIPアドレスを許可リストに追加する
- AWS WAFの地理的一致ステートメントを使用して、ブロック対象国を指定する
- VPCのネットワークACLを使用して、ブロック対象国からのトラフィックを拒否するルールを作成する