AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト-プロフェッショナル
解説
B が正解です。この方法では、AMI に証明書を埋め込み、インスタンス起動時に独自のインスタンス ID を使用して証明書署名要求 (CSR) を生成し、キー管理サービスで署名することができます。これにより、各インスタンスに固有の x.509 証明書を作成でき、セキュリティ要件を満たすことができます。
A は正解ではありません。この方法では、すべてのインスタンスが同じ証明書を使用することになり、インスタンス固有の証明書という要件を満たせません。
C は正解ではありません。キー管理サービスが直接インスタンスに証明書を送信する方法は、セキュリティ上問題があり、実装も複雑になります。
D は正解ではありません。キー管理サービスが Auto Scaling グループをポーリングする方法は非効率的で、スケーラビリティの問題が生じる可能性があります。また、セキュリティ面でも懸念があります。
Amazon EC2 Auto Scaling
Amazon Simple Notification Service (Amazon SNS)
Amazon Simple Storage Service (Amazon S3)
AWS Key Management Service (AWS KMS)
Elastic Load Balancing (ELB)
A は正解ではありません。この方法では、すべてのインスタンスが同じ証明書を使用することになり、インスタンス固有の証明書という要件を満たせません。
C は正解ではありません。キー管理サービスが直接インスタンスに証明書を送信する方法は、セキュリティ上問題があり、実装も複雑になります。
D は正解ではありません。キー管理サービスが Auto Scaling グループをポーリングする方法は非効率的で、スケーラビリティの問題が生じる可能性があります。また、セキュリティ面でも懸念があります。
関連サービスの解説
Amazon EC2Amazon EC2 Auto Scaling
Amazon Simple Notification Service (Amazon SNS)
Amazon Simple Storage Service (Amazon S3)
AWS Key Management Service (AWS KMS)
Elastic Load Balancing (ELB)
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 56%
No.39 解説
AWS のお客様が、EC2 インスタンスの AutoScaling グループで構成されるアプリケーション マットをデプロイしています。お客様のセキュリティ ポリシーでは、これらのインスタンスからお客様の Virtual Private Cloud 内の他のサービスへのすべての送信接続を、特定のインスタンス ID を含む一意の x 509 証明書を使用して認証する必要があります。さらに、x 509 証明書は、認証のために信頼されるために、顧客のキー管理サービスによって設計されている必要があります。次の構成のうち、これらの要件をサポートするのはどれですか?
- 署名付き証明書を含む Amazon S3 オブジェクトへのアクセスを許可する IAM ロールを設定し、このロールでインスタンスを起動するように Auto Scaling グループを設定します。インスタンスのブートストラップで、最初の起動時に Amazon S3 から証明書を取得します。
- Auto Scaling グループが使用する Amazon Machine Image に証明書を埋め込む。起動されたインスタンスに、インスタンスに割り当てられたインスタンス ID を使用して証明書署名要求を生成させ、署名のためにキー管理サービスに送信します。
- Auto Scaling グループを構成して、新しいインスタンスの起動に関する SNS 通知を信頼されたキー管理サービスに送信します。キー管理サービスで署名付き証明書を生成し、新しく起動したインスタンスに直接送信します。
- 最初の起動時に新しい証明書を生成するように、起動されたインスタンスを構成します。キー管理サービスに関連付けられたインスタンスの Auto Scaling グループをポーリングさせ、新しいインスタンスに証明書の署名を送信します (hat には特定のインスタンス ID が含まれています)。