SAA資格演習問題（無料30問）

【SAA-1】あるニュースメディア企業が、AWS上のApplication Load Balancer（ALB）とAmazon EC2 インスタンスで構築されたWebアプリケーションを通じて、記事コンテンツをインターネット向けに配信しています。
事業戦略の変更に伴い、このWebサイトへのアクセスを主要なマーケットである韓国とオーストラリアからのユーザーのみに限定し、それ以外のすべての国や地域からのリクエストはブロックする新しいセキュリティポリシーを適用することになりました。
インフラストラクチャレベルでこの地理的なアクセス制限を実現するために、ソリューションアーキテクトはどの構成を採用すべきですか。

【SAA-2】ある企業は、会員制Webアプリケーションのユーザー管理にAmazon Cognito を利用しています。ユーザーがログインすると、フロントエンドはAmazon API Gateway のREST API を呼び出し、バックエンドのAWS Lambda 関数経由でAmazon DynamoDB からユーザー固有のデータを取得します。今後、REST API へのアクセス制御ロジックは可能な限りマネージドサービスに任せ、アプリケーション側の実装量と運用負荷を減らしたいと考えています。

この要件を満たす、運用オーバーヘッドの少ないソリューションはどれですか。

【SAA-3】あるコンテンツ配信サービス企業が、製品マニュアルや調査レポートなどのファイルをAmazon S3に保存し、社外パートナーや顧客にダウンロードさせる仕組みをAWS上に構築しています。これらの利用者はAWSアカウントを持っておらず、IAMユーザーやロールとして認証させることはできませんが、不特定多数に公開するのではなく、URLを知っている相手のみに安全にファイルへアクセスさせたいと考えています。

AWS認証情報を持たないユーザーに対して、S3内のファイルをセキュアに配信するための方法として、ソリューションアーキテクトはどのような手段を選択すべきですか。

【SAA-4】オンライン決済サービスを提供するフィンテック企業では、本人確認書類のスキャン画像や口座情報などの機密性の高いユーザーデータを暗号化したうえで、特定のAmazon S3バケットに保管しています。これらのデータには、同じAWSアカウント内の専用VPCに配置されたアプリケーションサーバー（Amazon EC2 インスタンス）からのみアクセスさせたいと考えています。
監査チームからは、「インターネット経由の経路や、開発者の端末から直接S3バケットにアクセスできるような抜け道は残さないこと」という厳しい要件が提示されています。ソリューションアーキテクトは、VPC内のアプリケーション層からだけS3バケットにセキュアにアクセスできるようにしつつ、他の経路を遮断する必要があります。

この要件を満たすための手段として、適切なものを2つ選択してください。

【SAA-5】ある企業はAWS Organizationsを利用し、経理部門・開発部門・マーケティング部門など複数の部門別にAWSアカウントを分けて運用しています。管理アカウントには、各部門から集約したプロジェクトレポートを保管するためのAmazon S3バケットが1つあり、このバケットには組織内のアカウントからのみアクセスできるよう制御したいと考えています。個々のアカウントごとにバケットポリシーを頻繁に書き換えるような運用は避けたいという要件もあります。

運用負荷を最小限に抑えながら、このS3バケットへのアクセスを自社組織内のアカウントのみに制限するには、どのような設定を行うのが最も適切ですか。

【SAA-6】ある企業のアプリケーションが、VPC 内のAmazon EC2 インスタンス上で稼働しています。そのうちの1つのコンポーネントは、ファイルの保存や取得のためにAmazon S3 のAPIを呼び出す必要がありますが、社内のセキュリティポリシーにより、このアプリケーションから発生する通信がインターネットを経由することは禁止されています。

トラフィックをAWS のプライベートネットワーク内に閉じたまま、EC2 インスタンスからS3 バケットにアクセスできるようにするには、どのような構成を取るべきですか。

【SAA-7】ある企業は、新しい業務システムをAmazon VPC上に構築しました。プライベートサブネットにはLinuxベースのアプリケーションサーバー群があり、パブリックサブネットには管理者がSSH接続に利用する踏み台ホスト（bastion）が1台配置されています。オンプレミスの社内ネットワークからインターネット経由で踏み台ホストに接続し、そこからのみアプリケーションサーバーへSSHでログインできるようにしたいと考えています。セキュリティチームは、すべてのEC2インスタンスのセキュリティグループがこの要件に沿っていることを確認するよう求めています。

これらの要件を満たすために、ソリューションアーキテクトが実施すべき手順の組み合わせとして、最も適切なものはどれですか。（2つ選択）

【SAA-8】ある企業は、オンプレミスデータセンターのワークロードをAWS に段階的に移行する計画を立てています。社内のコンプライアンス規定により、クラウド上で利用可能なリージョンはap-northeast-3（大阪）に限定されており、それ以外のAWS リージョンの利用は認められていません。さらに、すべてのVPC はインターネットから完全に隔離されている必要があり、インターネットゲートウェイを使ったアウトバウンド通信は許可されていません。

これらの要件を満たすために、どの対応を組み合わせるべきですか。（2つ選択）

【SAA-9】ある企業は、AWS Organizations を利用してビジネスユニットごとにAWS アカウントを分離し、それぞれのアカウント運用を各チームに任せています。最近、本社のセキュリティチームが監査を行ったところ、いくつかのアカウントでルートユーザー宛に送信された重要な通知メールが見逃されていたことが判明しました。今後は、すべてのアカウントで発生する重要なお知らせを、あらかじめ定めた少数のアカウント管理者グループに確実に届けたいと考えています。一方で、一般ユーザーにはこれらの通知を配信する必要はありません。

この要件を満たすには、どのような対応を取るべきでしょうか。

【SAA-10】ある大規模組織のセキュリティチームが、組織内のすべてのAWSアカウントに対して特定のサービスやアクションへのアクセスを一律に制限したいと考えています。これらのアカウントはすべて、AWS Organizationsで管理されている単一の組織に所属しています。
チームは、個々のアカウントのIAMポリシーをそれぞれ変更するのではなく、組織全体にスケーラブルに適用できる一元的な制御ポイントを持ちたいと考えています。

この要件を満たすために、ソリューションアーキテクトは何をすべきでしょうか。

【SAA-11】ある企業はAWS上で自社サービスを運用しており、新たに外部のSaaS 事業者が提供する決済システムと連携することになりました。決済システムはSaaS 事業者が管理する別アカウントのVPC内でホストされており、このサービスに対して企業側のVPCからAPIリクエストを送信する必要があります。同社のセキュリティポリシーでは、通信はすべてインターネットを経由せずにプライベートネットワーク内で完結させ、かつ接続可能な宛先を決済サービスのエンドポイントのみに限定することが求められています。

これらの要件を満たす最適なソリューションはどれですか。

【SAA-12】ある企業では、複数のWebサーバーから共通のAmazon RDS for MySQL Multi-AZ DBインスタンスに対して接続を行う業務システムを運用しています。セキュリティチームは、データベースユーザーの認証情報を定期的にローテーションしつつ、個々のWebサーバーに手作業でパスワードを配布したり設定ファイルを書き換えたりする運用をやめたいと考えています。

Webサーバー群からデータベースへセキュアに接続しながら、認証情報のローテーションを容易にする方法として、最も適切なものはどれですか。

【SAA-13】ある企業は、複数のAWS アカウントにまたがるアプリケーションをAWS Organizations で一元管理しています。ユーザーとグループはオンプレミスのセルフマネージドMicrosoft Active Directory（AD）で管理しており、今後もAD をアイデンティティソースとして利用し続けたいと考えています。一方で、全アカウントに対してシングルサインオン（SSO）でAWS 管理コンソールや各アプリケーションへアクセスさせたいという要件があります。

これらの要件を満たすソリューションはどれですか。

【SAA-14】ある企業は、開発部門や運用部門からの要望に応えて、AWS アカウント内で多数のAmazon EC2 インスタンスを立ち上げ、新しいワークロードを次々と稼働させ始めました。これまではオンプレミス環境でジャンプサーバー経由のSSH接続や共有管理用キーペアでサーバーにログインしていましたが、鍵の配布・回収や踏み台サーバーの運用負荷が問題になっていました。同社は、AWSネイティブの仕組みと連携しながら、クラウド設計のベストプラクティスに沿った形で、繰り返し利用できる安全なリモート運用プロセスを構築したいと考えています。

運用上のオーバーヘッドを最小限に抑えつつ、EC2 インスタンスへの安全なリモートアクセスを実現するソリューションとして、最も適切なものはどれですか。

【SAA-15】ある企業が、ユーザー同士でファイルを共有できるWebアプリケーションを開発しており、ファイル本体の保存先としてAmazon S3 バケットを利用しています。エンドユーザーへの配信にはAmazon CloudFront ディストリビューションを使いたいと考えていますが、ユーザーがS3オブジェクトのURLを直接推測・入力してアクセスできてしまう状況は避けたいと考えています。

CloudFront 経由でのみファイルにアクセスさせ、S3 への直接アクセスを防ぐために、ソリューションアーキテクトはどのような構成を取るべきですか。

【SAA-16】ある企業が、コーポレートサイト用の静的WebコンテンツをAmazon S3バケットに保存し、そのコンテンツをAmazon CloudFront ディストリビューションを使って全世界に配信する構成を設計しています。セキュリティポリシーでは、「インターネットからの全てのWebトラフィックは必ずAWS WAFによる検査を経てからアプリケーションに到達すること」が求められています。
ソリューションアーキテクトは、S3バケットに対する直接アクセスを防ぎつつ、CloudFront 経由のトラフィックのみを許可し、その入口でAWS WAFを適用したいと考えています。

これらの要件を満たす構成として最も適切なものはどれですか。

【SAA-17】あるSaaS企業が、新しくリリースしたアプリケーションの稼働状況を可視化するために、Amazon CloudWatch ダッシュボード上で各種メトリクスを監視しています。サービス企画チームの責任者は、このダッシュボードを定期的に確認して機能改善の判断を行いたいものの、日常的にAWSリソースを操作する必要はなく、現在AWSアカウントも持っていません。ソリューションアーキテクトは、最小権限の原則に従いながら、この担当者がブラウザーからダッシュボードを閲覧できるようにしたいと考えています。

これらの要件を満たす方法として、最も適切なものはどれですか。

【SAA-18】ある社内業務アプリケーションが、VPC内のプライベートサブネットに配置されたAmazon EC2 インスタンス上で稼働しています。このアプリケーションは、構成データやトランザクションログを保存するために、同じAWSリージョン内のAmazon DynamoDB テーブルにアクセスする必要があります。
セキュリティチームは、これらの通信がインターネットに一切出ないようにしたいと考えており、DynamoDB へのアクセスもAWSネットワーク内で完結させることを要件としています。

トラフィックがAWSのネットワーク外に出ないことを確実にしながら、DynamoDB テーブルにアクセスする最も安全な方法はどれですか。

【SAA-19】ある企業が、新たに立ち上げる業務用ドキュメント共有アプリケーションをAWS上で構築しています。アプリケーションサーバーは2台のAmazon EC2インスタンスで構成され、アップロードされた文書ファイルはすべて共通のAmazon S3バケットに保存されます。ソリューションアーキテクトは、アプリケーションコードからS3バケットに対して安全に読み書きできるようにする必要があります。

この要件を満たすため、EC2インスタンスとS3バケットのアクセス権限はどのように設計すべきでしょうか。

【SAA-20】あるソリューションアーキテクトは、2つのチームのメンバーが異なるAWSアカウント（開発アカウントと本番アカウント）に存在するAmazon S3 バケットへアクセスできるようにする必要があります。現在、開発アカウント側では、各メンバーに一意のIAMユーザーが割り当てられており、これらのユーザーは適切な権限を持つIAMグループ経由で開発用S3バケットにアクセスしています。新たに本番アカウント側にはS3 バケットへのアクセス権限を持つIAMロールを作成済みです。

最小特権の原則を守りながら、メンバーに本番アカウントのS3 バケットへのアクセスを許可するには、どのように構成すべきでしょうか。

【SAA-21】ある企業では、新たに採用したクラウドエンジニアに対して、社内でも特に秘匿性の高いデータを保存しているAmazon S3 バケット `sensitive-project-data` へのアクセスを一切許可しないようにしたいと考えています。一方で、このエンジニアには運用チーム向けのツールやスクリプトを格納している S3 バケット `ops-team-tools` に対しては、オブジェクトの読み取りと書き込み、そしてバケット一覧の取得ができるようにする必要があります。

この要件を満たすIAMポリシーとして、最も適切なものはどれですか。

【SAA-22】ある企業のEC2 管理者は、社内オフィスネットワークからの操作だけ特定リージョンのEC2インスタンス終了を許可し、それ以外の環境からの不要なEC2操作は行えないようにしたいと考えています。そこで、複数の開発者が所属するIAMグループに対して、次のようなインラインポリシーを関連付けました。
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Sid”: “1-AllowTerminateFromOfficeNet”,
“Effect”: “Allow”,
“Action”: “ec2:TerminateInstances”,
“Resource”: “*”,
“Condition”: {
“IpAddress”: { “aws:SourceIp”: “198.51.100.0/25”] }
}
},
{
“Sid”: “2-DenyEC2OutsideOregon”,
“Effect”: “Deny”,
“Action”: “ec2:*”,
“Resource”: “*”,
“Condition”: {
“StringNotEquals”: { “ec2:Region”: “us-west-2” }
}
}
]
}

このポリシーは、送信元IPが198.51.100.0/25 の範囲内であればEC2インスタンスの終了アクション（TerminateInstances）が実行可能であり、さらにus-west-2 以外のリージョンに対するEC2アクションはすべて実行不可能になることを意図しています。

このポリシーをグループにアタッチした場合の挙動として、最も正しい説明はどれですか。

【SAA-23】ある写真共有サービスのバックエンドとして、会社はAmazon ECS 上で動作する画像処理アプリケーションを運用しています。
各コンテナタスクは、ユーザーがアップロードした元の画像オブジェクトを取得し、スマートフォン向けやサムネイル用など複数サイズの派生画像を生成したうえで、それらをAmazon S3バケットに保存します。

これらのコンテナタスクが、アプリケーションコードに固定のアクセスキーを埋め込むことなく、必要な範囲のS3読み取りおよび書き込み権限を安全に取得できるようにするには、ソリューションアーキテクトはどうすればよいですか。

【SAA-24】ある企業は、ログ集計や定期レポート生成を行う新しいサーバーレスデータ処理基盤をAWS上に構築しようとしています。中心となる処理ロジックはAWS Lambda 関数で実装され、スケジュールやイベントの発火はAmazon EventBridge のルールによって制御されます。セキュリティチームは「最小権限の原則」に基づき、EventBridge からLambda が呼び出される際の権限設定をできるだけ限定的にし、不要なアクションやプリンシパルを許可しないことを求めています。

この要件を満たすための、Lambda 関数への権限付与方法として最も適切なものはどれですか。

【SAA-25】ある保険会社が、保険金請求書類や契約書のスキャンデータをAmazon S3に保存し、それらのファイルを自動的に解析する文書処理アプリケーションをAmazon EC2インスタンス上で稼働させています。
現在、このEC2インスタンスはパブリックサブネットに配置されており、S3バケットへのアクセスはインターネット経由で行われています。他の外部システムとの通信は必要ありません。
新たに、個人情報を含むファイル転送についてはインターネットを経由させず、AWSネットワーク内のプライベートな経路のみを利用するように、社内のセキュリティポリシーが更新されました。

この要件を満たすために提案すべきネットワークアーキテクチャの変更として最も適切なものはどれですか。

【SAA-26】ある分析アプリケーションは、VPC 内のAmazon EC2 インスタンス上で実行されており、処理対象となるログファイルはすべてAmazon S3 バケットに保存されています。セキュリティ上の理由から、これらのEC2 インスタンスにはインターネットアクセスを付与せずに運用したい一方で、S3 バケットにはプライベートネットワーク経由で安全にアクセスできる必要があります。

Amazon S3 へのプライベート接続を提供するために、どのソリューションを採用すべきですか。

【SAA-27】ある企業は、社内システムが稼働するAmazon EC2 インスタンスから、ログファイルやレポートデータをAmazon S3 バケットに定期的にアップロードしたいと考えています。セキュリティポリシー上、API コールやデータトラフィックがパブリックインターネットを経由しないことが必須条件です。また、このS3 バケットに対して書き込みアクセス権を持てる主体は、対象EC2 インスタンスに割り当てたIAMロールだけに限定する必要があります。

これらの要件を満たすネットワークおよびアクセス制御の構成として、最も適切なものはどれですか。

【SAA-28】ある人事システム開発チームが、社員の勤怠情報を管理する社内WebアプリケーションをAmazon EC2 インスタンス上で稼働させています。
このアプリケーションは、Amazon RDS DBインスタンスに接続する際に使用するデータベースユーザー名とパスワードを安全に管理する必要があります。
開発チームは、機密情報をプレーンテキストで設定ファイルに書き込むのではなく、AWS Systems Manager Parameter Store のセキュアなパラメータとして保存したいと考えています。

これらの要件を満たすために、ソリューションアーキテクトが取るべき最も適切なアクションはどれですか。

【SAA-29】ある企業の業務アプリケーションが、VPC 内のプライベートサブネットに配置されたAmazon EC2 インスタンス上で稼働しています。このアプリケーションの一部コンポーネントは、ログファイルやレポートデータをAmazon S3 バケットに保存したり読み出したりする必要がありますが、社内のセキュリティポリシーにより、このVPCからインターネットゲートウェイやNATゲートウェイを経由して外部インターネットに出ることは禁止されています。コストも考慮しつつ、この制約の中でS3 と連携する必要があります。

トラフィックをインターネットに出さずにEC2 インスタンスからS3 にアクセスできる、最も費用対効果の高いソリューションはどれですか。

【SAA-30】あるソリューションアーキテクトは、シンプルな2層WebアプリケーションをVPC内に構築しています。フロントエンドのWebサーバーはパブリックサブネット上のAmazon EC2 インスタンスで稼働し、インターネットからHTTPS（ポート443）でアクセスされます。バックエンドのデータベース層は、別のプライベートサブネット上のEC2 インスタンスでMicrosoft SQL Server を実行しており、外部から直接アクセスされるべきではありません。この構成で、最小権限の原則に従って適切にトラフィックを制御したいと考えています。

この状況で、セキュリティグループはどのように構成すべきでしょうか。（2つ選択）