AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト-プロフェッショナル
解説
D が正解です。AWS CloudFormation のスタックセットを使用して、すべての関連 AWS アカウントに IAM ロールを作成することは、最も効率的で管理しやすい方法です。これにより、サードパーティのモニタリングソリューションに必要な読み取り専用のアクセス権限を付与できます。
A は不適切です。AWS SSO を使用してユーザーを作成することは、人間のユーザーに適していますが、サードパーティのアプリケーションには適していません。また、ユーザー名とパスワードの管理は安全性の面で問題があります。
B は不完全です。管理アカウントに IAM ロールを作成するだけでは、他のアカウントへのアクセスを提供できません。組織内の各アカウントに個別のロールが必要です。
C は過剰な権限を与えてしまいます。サードパーティのアカウントを組織に招待し、すべての機能を有効にすることは、必要以上の権限を与えることになり、最小権限の原則に反します。また、組織の構造を変更することになり、セキュリティリスクが高まります。
D は最も適切な解決策です。CloudFormation テンプレートとスタックセットを使用することで、すべての関連アカウントに一貫した IAM ロールを効率的に作成できます。また、信頼ポリシーでサードパーティのアカウントを指定することで、必要最小限のアクセス権限を付与できます。
AWS CloudFormation
AWS Identity and Access Management (AWS IAM)
AWS Organizations
Elastic Load Balancing (ELB)
A は不適切です。AWS SSO を使用してユーザーを作成することは、人間のユーザーに適していますが、サードパーティのアプリケーションには適していません。また、ユーザー名とパスワードの管理は安全性の面で問題があります。
B は不完全です。管理アカウントに IAM ロールを作成するだけでは、他のアカウントへのアクセスを提供できません。組織内の各アカウントに個別のロールが必要です。
C は過剰な権限を与えてしまいます。サードパーティのアカウントを組織に招待し、すべての機能を有効にすることは、必要以上の権限を与えることになり、最小権限の原則に反します。また、組織の構造を変更することになり、セキュリティリスクが高まります。
D は最も適切な解決策です。CloudFormation テンプレートとスタックセットを使用することで、すべての関連アカウントに一貫した IAM ロールを効率的に作成できます。また、信頼ポリシーでサードパーティのアカウントを指定することで、必要最小限のアクセス権限を付与できます。
関連サービスの解説
AWS IAM Identity Center (AWS Single Sign-On)AWS CloudFormation
AWS Identity and Access Management (AWS IAM)
AWS Organizations
Elastic Load Balancing (ELB)
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 52%
No.2 解説
ある企業は、AWS Organizations 内の組織に複数の AWS アカウントを持っています。同社はオンプレミスの Active Directory と AWS Single Sign-On (AWS SSO) を統合し、すべてのアカウントのインフラストラクチャを管理するための最小権限のアクセス許可を Active Directory ユーザーに付与しています。
ソリューションアーキテクトは、すべての AWS アカウントでの読み取り専用アクセスを必要とする、サードパーティーのモニタリングソリューションを統合しなければなりません。
モニタリングソリューションは独自の AWS アカウントで実行されます。
モニタリングソリューションに必要なアクセス許可を与えるために、ソリューションアーキテクトは何をすべきですか。
ソリューションアーキテクトは、すべての AWS アカウントでの読み取り専用アクセスを必要とする、サードパーティーのモニタリングソリューションを統合しなければなりません。
モニタリングソリューションは独自の AWS アカウントで実行されます。
モニタリングソリューションに必要なアクセス許可を与えるために、ソリューションアーキテクトは何をすべきですか。
- AWS SSO ディレクトリにユーザーを作成する。読み取り専用アクセス許可セットをユーザーに 割り当てる。モニタリングが必要なすべての AWS アカウントをユーザーに割り当てる。 サードパーティーのモニタリングソリューションに、ユーザー名とパスワードを指定する。
- 組織の管理アカウントに IAM ロールを作成する。サードパーティーのモニタリングソリューションの AWS アカウントにロールを引き受けることを許可する。
- サードパーティーのモニタリングソリューションの AWS アカウントを組織に招待する。 すべての機能を有効にする。
- サードパーティーのモニタリングソリューションの新しい IAM ロールを定義する AWS CloudFormation テンプレートを作成する。信頼ポリシーで、サードパーティーの モニタリングソリューションの AWS アカウントを指定する。スタックセットを使用して、 リンクされたすべての AWS アカウントで IAM ロールを作成する。