AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト-プロフェッショナル
解説
D: これが正解です。ELB (Elastic Load Balancer) でSSLを終了し、IAMポリシーを使用してセキュリティ担当者のみに証明書ストアへのアクセスを制限することで、役割分担を実現できます。これにより、EC2サービス管理者は証明書にアクセスせずにWebアプリケーションを管理でき、セキュリティ担当者は証明書を独占的に管理できます。
A: この方法では、EC2インスタンスのロールがS3バケットにアクセスできるため、EC2サービス管理者も証明書にアクセスできてしまう可能性があります。これは役割分担の要件を満たしません。
B: CloudHSMは高度なセキュリティを提供しますが、Webサーバーが起動時に証明書を取得する設定では、EC2サービス管理者が証明書にアクセスできる可能性があります。また、CloudHSMの導入と管理は複雑で、コストがかかる可能性があります。
C: Webサーバー上でのシステム権限の構成だけでは、EC2サービス管理者が証明書にアクセスするのを完全に防ぐことは困難です。また、この方法ではスケーラビリティや管理の観点から課題があります。
AWS CloudHSM
AWS Identity and Access Management (AWS IAM)
Elastic Load Balancing (ELB)
A: この方法では、EC2インスタンスのロールがS3バケットにアクセスできるため、EC2サービス管理者も証明書にアクセスできてしまう可能性があります。これは役割分担の要件を満たしません。
B: CloudHSMは高度なセキュリティを提供しますが、Webサーバーが起動時に証明書を取得する設定では、EC2サービス管理者が証明書にアクセスできる可能性があります。また、CloudHSMの導入と管理は複雑で、コストがかかる可能性があります。
C: Webサーバー上でのシステム権限の構成だけでは、EC2サービス管理者が証明書にアクセスするのを完全に防ぐことは困難です。また、この方法ではスケーラビリティや管理の観点から課題があります。
関連サービスの解説
Amazon EC2AWS CloudHSM
AWS Identity and Access Management (AWS IAM)
Elastic Load Balancing (ELB)
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 53%
No.11 解説
ある顧客がSSL対応のWebアプリケーションをAWSに導入する際、インスタンスへのログインやAPIコールを行うEC2サービス管理者と、秘密鍵を含むアプリケーションのX.509証明書を管理し独占的にアクセスするセキュリティ担当者の間で役割分担を行いたいと考えています。
- セキュリティ担当者が所有し、Web サーバーの EC2 ロールのみがアクセスできる S3 バケットに証明書をアップロードします。
- セキュリティ担当者によって管理されている CloudHSM からの起動時に証明書を取得するように Web サーバーを構成します。
- 証明書へのアクセスを当局のセキュリティ担当者のみに制限するように Web サーバーでシステム権限を構成する
- セキュリティ担当者のみに証明書ストアへのアクセスを許可する IAM ポリシーを構成し、ELB で SSL を終了します。