AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト-プロフェッショナル
解説
正解はDです。ELB(Elastic Load Balancer)でSSL終端を行い、IAMポリシーを使用してセキュリティ担当者のみに証明書ストアへのアクセスを許可することが、最も適切なソリューションです。この方法には以下の利点があります:
1. セキュリティの向上:証明書がEC2インスタンス上に存在しないため、EC2管理者が証明書にアクセスするリスクが低減されます。
2. 役割分担の明確化:セキュリティ担当者のみが証明書を管理し、EC2管理者はアプリケーションの運用に集中できます。
3. 運用の簡素化:ELBがSSL処理を担当するため、EC2インスタンスの負荷が軽減されます。
4. スケーラビリティ:ELBを使用することで、トラフィック増加時の対応が容易になります。
選択肢 A:この方法では、EC2インスタンスのIAMロールを通じて証明書にアクセスできるため、EC2管理者も証明書にアクセスできる可能性があります。役割分担の要件を満たしません。
選択肢 B:CloudHSMは高度なセキュリティを提供しますが、導入・運用コストが高く、複雑性も増します。また、Webサーバーが直接証明書を取得するため、完全な役割分担が難しくなります。
選択肢 C:Webサーバー上での権限設定だけでは、EC2管理者による証明書へのアクセスを完全に防ぐことが困難です。また、複数のインスタンスがある場合、管理が煩雑になる可能性があります。
AWS CloudHSM
AWS Identity and Access Management (AWS IAM)
Elastic Load Balancing (ELB)
1. セキュリティの向上:証明書がEC2インスタンス上に存在しないため、EC2管理者が証明書にアクセスするリスクが低減されます。
2. 役割分担の明確化:セキュリティ担当者のみが証明書を管理し、EC2管理者はアプリケーションの運用に集中できます。
3. 運用の簡素化:ELBがSSL処理を担当するため、EC2インスタンスの負荷が軽減されます。
4. スケーラビリティ:ELBを使用することで、トラフィック増加時の対応が容易になります。
選択肢 A:この方法では、EC2インスタンスのIAMロールを通じて証明書にアクセスできるため、EC2管理者も証明書にアクセスできる可能性があります。役割分担の要件を満たしません。
選択肢 B:CloudHSMは高度なセキュリティを提供しますが、導入・運用コストが高く、複雑性も増します。また、Webサーバーが直接証明書を取得するため、完全な役割分担が難しくなります。
選択肢 C:Webサーバー上での権限設定だけでは、EC2管理者による証明書へのアクセスを完全に防ぐことが困難です。また、複数のインスタンスがある場合、管理が煩雑になる可能性があります。
関連サービスの解説
Amazon EC2AWS CloudHSM
AWS Identity and Access Management (AWS IAM)
Elastic Load Balancing (ELB)
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 53%
No.11 解説
ある企業がAWS上でSSL対応のWebアプリケーションを運用しています。EC2インスタンスの管理者とSSL証明書を管理するセキュリティ担当者の間で、適切な役割分担を実現したいと考えています。以下の選択肢の中から、最も適切なソリューションを選んでください。
- セキュリティ担当者が管理するS3バケットに証明書を保存し、EC2インスタンスのIAMロールでアクセスを許可する
- CloudHSMを使用して証明書を保管し、Webサーバーの起動時に証明書を取得するよう設定する
- Webサーバー上で証明書へのアクセスをセキュリティ担当者のみに制限するようシステム権限を設定する
- ELBでSSL終端を行い、IAMポリシーを使用してセキュリティ担当者のみに証明書ストアへのアクセスを許可する