SAA資格演習問題（無料30問）

あるスタートアップは、VPC 内の Application Load Balancer（ALB）を経由して稼働するオンラインストアを提供しています。新たに制定されたコンプライアンス方針により、サイトへのトラフィックを「韓国とオーストラリア」からのアクセスだけに制限し、その他地域からのリクエストは拒否する必要があります。日々の運用作業を極小化しつつ、この要求を満たす最適な方法はどれでしょうか。

新興企業のモバイル開発チームは、ステージングと本番で共通利用する e コマース向け REST API を Amazon API Gateway で公開している。サインアップ／サインインは既に Amazon Cognito ユーザープールで実装済みであり、API はログイン済みユーザーだけが呼び出せるようにしたい。API キー配布や独自コードの保守・追加インフラの運用は極力避ける場合、最適なアプローチはどれか。

海外の広告代理店は AWS アカウントを持っていない。社内の S3 バケット（Block Public Access が有効）に格納されている 300 MB の動画ファイルを、ダウンロード用 URL を介して 12 時間だけ安全に共有する必要がある。バケットや他のオブジェクトを公開せず、AWS が提供する標準機能のみで実装できる最適な方法はどれか。

フィンテック企業は顧客のクレジットスコアに関する極秘 CSV ファイルを Amazon S3 に保管している。計算処理を担う Amazon EC2 インスタンス群は、外部ネットワークへ出られない VPC のプライベートサブネットに配置されている。インターネットを一切通さずにこれら EC2 から S3 へ接続し、しかも特定のマイクロサービスだけが対象バケットにアクセスできるようにする必要がある。最も適切な対応を2つ選びなさい。

TechSoft社は AWS Organizations を利用して 30 以上の AWS アカウントを一元管理している。
セキュリティ部門は、すべてのアカウントから GuardDuty 検出結果を集約するため、オハイオリージョン (us-east-2) に S3 バケット「techsoft-security-logs」を 1 つだけ用意した。満たすべき条件は次のとおり。
1) バケットに対するあらゆる操作は TechSoft 組織に属する IAM ユーザーまたはロールだけに許可する。
2) 新しいアカウントを Organizations に追加しても、追加スクリプトや手動設定は極力不要とする。
3) 組織外アカウントやインターネットからのアクセスは全面的に拒否する。
4) us-east-2 以外のリージョンからの意図しないアクセスやレプリケーションもブロックする。
セキュリティ部門は今後さらに多数の子アカウントを増やす計画であり、運用負荷を最小限に抑えながらこれらの要件を恒久的に担保したい。
最適な設計はどれか。

新興企業B社は、プライベートサブネットに配置した分析用 EC2 インスタンスから Amazon S3 バケットへファイルのアップロードとダウンロードを行う必要がある。社内のコンプライアンスでは「通信がインターネットを横断しないこと」が絶対条件であり、追加コストや構成変更はできる限り小さく抑えたい。これらの要件を最も効率的に満たすネットワーク設計はどれか。

本社 LAN (CIDR: 192.168.50.0/22) だけを接続元として、パブリックサブネット上のジャンプサーバ (バスティオンホスト) 経由で、プライベートサブネット内のバックエンド EC2 インスタンスへ SSH で保守ログインできるようにしたい。
最小権限と多層防御を実現するため、既存のセキュリティグループを更新して実施すべき手順を 2 つ選べ。

国内医療機器メーカーが新たに AWS 上でマルチアカウント基盤を立ち上げています。社内基準は以下のとおりです。
1) すべてのワークロードは大阪リージョン (ap-northeast-3) のみに配置すること
2) どの VPC からもパブリックインターネットへ直接出られないこと
3) 違反が発生し得ないよう事前にブロックする強制制御を中央で適用すること
単なる検出や通知だけでは要件を満たしません。これらの条件を継続的に確実に満たせる組み合わせを 2 つ選んでください。（正解は 2 つ）

自社は AWS Organizations で 15 アカウントを運用している。以前、root ユーザー宛てに届いた緊急セキュリティ通知を担当者が長期休暇で不在だったため見逃し、被害が拡大した。今後は
① 選任された 2〜3 名の管理者だけが確実に通知を受け取り、
② 退職・不在時にも配信経路が途切れないよう冗長化し、
③ 追加コストや複雑な運用を避けたい。
最も適切な対応はどれか。

国際企業「グロボデータ社」では、開発・テスト・本番など 18 個の AWS アカウントを AWS Organizations で管理しています。
内部監査から「全アカウントで S3 バケットをパブリック公開する API を使えなくし、今後追加されるアカウントにも強制したい」という依頼がありました。
運用部門は、各アカウントに個別で IAM ポリシーを配布せず、中央で一括ガバナンスを実現したいと考えています。
この要件を最も効率的かつ拡張性高く満たす方法はどれですか。

自社アカウント (987654321000) の Frankfurt リージョン (eu-central-1) にある VPC (CIDR: 172.30.0.0/16) から、別アカウント (444444444444) の Sydney リージョン (ap-southeast-2) に配置された在庫管理 API (TCP 8443 のみ) へ安全にアクセスしたい。

ビジネス要件
1. 先方 VPC 内の当該 API だけを利用対象とする。
2. 必要帯域は約 500 Mbps、コストはできるだけ低く抑える。

セキュリティ要件
1. 通信は AWS バックボーン内で完結させ、インターネットは経由しない。
2. パブリック IP アドレスを割り当てない。
3. 広い CIDR 同士の相互疎通は禁止し、単一ポートに限定した最小権限を徹底する。

ネットワーク制約
• 自社側はルートテーブルとセキュリティグループを変更できるが、サービス提供側はサービスエンドポイントのみ公開可能。
• クロスリージョン接続および DNS 名解決が必要。

上記の要件をすべて満たす接続方法として最も適切なものを選んでください。

動画配信サービスを運営する企業では、単一の Amazon RDS for PostgreSQL に対し複数の Amazon ECS Fargate タスクと AWS Lambda 関数からアクセスしている。
社内ポリシーは「DB 資格情報を 14 日以内に自動ローテーションし、人手作業を最小化すること」と規定している。
さらに、各タスクおよび関数には「シークレットの取得のみ許可し、更新は不可」とする IAM 制約が求められる。
これらの条件を同時に満たす最適な設計はどれか。

物流企業 K 社は AWS Organizations 配下に 5 つのメンバーアカウントを所有している。オンプレミスの自己運用 Microsoft Active Directory 内のユーザー／グループを複製せずに、全アカウントへ統一的なサインオンを提供したい。追加の IdP サーバーを新たに保守することは避け、高可用性と運用効率の両立を求めている。最適な構成はどれか。

社内システムでは、Amazon Linux 2 と Windows Server が混在する数十台の EC2 インスタンスを 3 つのプライベートサブネットに配置している。
現状は公開サブネット上の踏み台サーバを経由してポート 22／3389 で運用担当者がログインしているが、
・踏み台の維持や秘密鍵配布を廃止して管理コストを下げたい
・インターネットやオンプレ VPN に頼らず AWS 標準機能だけで運用アクセスを完結させたい
・アクセス権限と操作履歴を IAM ポリシーと AWS CloudTrail に一元的に残したい
という新しいガバナンス要件が出た。
最も適切な対応策はどれか。

動画クリップとメタデータを配布している企業 GreenStream では、1 つの Amazon S3 バケットにサムネイル画像（静的）とリクエストごとに生成される JSON ファイル（動的）を保管し、Amazon CloudFront パブリックディストリビューションを通して世界中の匿名視聴者に提供したいと考えている。新たに示されたセキュリティおよび運用条件は次のとおり。
1. エンドユーザーがアクセスできるのは CloudFront のドメイン名のみで、S3 のリージョナルエンドポイントへは直接届かないこと
2. アプリケーションコードやリダイレクトの実装は変更せず、インフラ設定だけで完結すること
3. バケットは全面的にプライベートで、最小特権の原則を担保すること
4. 将来、署名付きリクエストやオリジン TLS 強制など、OAC の最新機能をすぐ利用できる構成にしておくこと

これらの前提をすべて満たすアーキテクチャとして最も適切なのはどれか。

社内規定の厳格な条件は次のとおり。
1) すべての HTTP/HTTPS リクエストは AWS WAF を経由させること。
2) Amazon S3 はバックエンド専用とし、インターネットから直接到達できないようにすること。
グローバルに静的 Web サイトを届け、のちに API などを容易に追加できる構成として最適なのはどれか。

自社の稼働情報を示す CloudWatch ダッシュボードを、AWS アカウント非保持の外部審査員が四半期ごとに閲覧する必要があります。
審査員にはダッシュボード 1 画面だけ見られれば十分で、追加インフラの手配や IAM 資格情報発行は極力避けたいと考えています。
最小権限で運用とコストを抑えて要件を満たす方法はどれですか。

社内向け BI プラットフォームを新規構築しています。プライベートサブネット上で稼働する Amazon EC2 インスタンスから、同一リージョンの Amazon DynamoDB テーブルへインターネットを経由せずにアクセスすることが社内セキュリティ標準で求められています。可用性を維持しながら料金をできるだけ抑えられるネットワーク設計として最適なのは次のうちどれですか。

社内の配送追跡サービスが Amazon EC2 インスタンス (Amazon Linux) 上で稼働している。このサービスは Amazon S3 バケット「parcel-logs」に対しオブジェクトの取得と保存を行う必要がある。インスタンス内に長期的な認証情報を保持せず、かつ最小権限で S3 に安全にアクセスできるようにしたい。ソリューションアーキテクトはどの方法を採用すべきか。

あなたの組織では AWS アカウントを 2 つ運用しています。
・アカウント X･･･データサイエンス部門が利用。自分たちの S3 バケットにはすでに IAM ポリシーで適切な権限を持っている。
・アカウント Y･･･情報システム部門が所有。ここには「DataExchangeRole」という IAM ロールがあり、特定バケットに対して GetObject と PutObject だけを許可する最小権限のポリシーが設定済み。

今後、アカウント X のエンジニアが、このロールを経由してアカウント Y のバケットにファイルの読み書きを行う必要がある。
追加の運用負荷を発生させず、かつ最小特権の原則を維持しながらクロスアカウントアクセスを実現する最適な手順はどれか。

新任クラウド担当者は、IAM ポリシー のみ で次のアクセス要件を満たす権限を付与するよう求められました。
バケット 「app-assets」 に対してオブジェクトの読み取り (GetObject) と書き込み (PutObject) を許可
バケット 「app-assets」 自体の一覧取得 (ListBucket) を許可
バケット 「confidential-backup」 にはバケット／オブジェクトを問わず一切アクセスさせない
そのほかの S3 バケットや AWS リソースの権限は変更しない
次の 4 つのポリシーのうち、この要件を最小権限で正しく満たすものを 1 つ選んでください。

次の IAM ポリシーは、技術部門グループ “WebDev” にアタッチされている。
JSON には 2 つのステートメント (1 と 2) が含まれている。

“`
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Sid”: “1-AllowTerminateFromOfficeNet”,
“Effect”: “Allow”,
“Action”: “ec2:TerminateInstances”,
“Resource”: “*”,
“Condition”: {
“IpAddress”: { “aws:SourceIp”: “198.51.100.0/25”] }
}
},
{
“Sid”: “2-DenyEC2OutsideOregon”,
“Effect”: “Deny”,
“Action”: “ec2:*”,
“Resource”: “*”,
“Condition”: {
“StringNotEquals”: { “ec2:Region”: “us-west-2” }
}
}
]
}
“`

グループのメンバーが EC2 インスタンスを終了できる条件として、最も正しい説明を選べ。

動画配信サービスを運営する企業では、Amazon ECS のハイブリッドクラスター（Fargate と EC2 起動タイプの混在）上で動いているコンテナが、生成した PNG サムネイルを Amazon S3 バケットにアップロードする必要があります。
VPC から S3 へのネットワーク経路はすでに構成済みであり、イメージ内にアクセスキーなどの資格情報を埋め込まず、タスク実行時だけ最小限の権限で書き込みを行わせたいと考えています。
この要件を満たす最適な方法はどれですか？

国内スーパー「Sakura Stores」は、決済完了イベントを Amazon EventBridge のルールで検出し、AWS Lambda 関数 CheckOrderRisk を即時実行して不正取引を遮断したいと考えている。
情シス部門からは「EventBridge だけが Invoke できるよう最小権限で設定せよ」と指示がある。
次のうち、この要件を最も適切に満たす設定はどれか。

A.
Lambda 関数 CheckOrderRisk のリソースベースポリシー
{
“Version”: “2012-10-17”,
“Statement”: [{
“Effect”: “Allow”,
“Principal”: { “Service”: “events.amazonaws.com” },
“Action”: “lambda:InvokeFunction”,
“Resource”: “arn:aws:lambda:ap-northeast-1:210987654321:function:CheckOrderRisk”
}]
}

B.
CheckOrderRisk の実行ロールに次のインラインポリシーを追加
{
“Version”: “2012-10-17”,
“Statement”: [{
“Effect”: “Allow”,
“Principal”: { “Service”: “events.amazonaws.com” },
“Action”: “lambda:InvokeFunction”,
“Resource”: “*”
}]
}

C.
Lambda 関数 CheckOrderRisk のリソースベースポリシー
{
“Version”: “2012-10-17”,
“Statement”: [{
“Effect”: “Allow”,
“Principal”: “*”,
“Action”: “lambda:InvokeFunction”,
“Resource”: “arn:aws:lambda:ap-northeast-1:210987654321:function:CheckOrderRisk”
}]
}

D.
Lambda 関数 CheckOrderRisk のリソースベースポリシー
{
“Version”: “2012-10-17”,
“Statement”: [{
“Effect”: “Allow”,
“Principal”: { “Service”: “events.amazonaws.com” },
“Action”: “lambda:*”,
“Resource”: “arn:aws:lambda:ap-northeast-1:210987654321:function:CheckOrderRisk”
}]
}

オンライン決済サービスを提供するスタートアップでは、2 つのアベイラビリティーゾーンに配置した Amazon EC2 インスタンスからオブジェクトストレージへ日次バックアップを取得しています。現状、インスタンスはパブリックサブネットに配置され、インターネットゲートウェイ（IGW）経由で Amazon S3 に接続しています。
新たなセキュリティ基準により次の要件が課されました。
・インターネットとの通信は全面的に遮断する
・外部へのアウトバウンド通信で必要なのは S3 へのみ

この条件を満たすネットワーク設計として最適なものを 1 つ選んでください。

データ分析用の EC2 インスタンスが配置されているプライベートサブネットから、インターネットを経由せずに社内の Amazon S3 バケットへファイルを転送できる構成を計画している。
追加で Direct Connect や VPN を敷設する予定はなく、コストおよび運用作業をできる限り抑えたい。
セキュリティグループの修正や IAM ポリシーの調整は許容されている。
この要件をもっとも効率的に満たすアーキテクチャはどれか。

社内の分析チームは、VPC 内の EC2 インスタンス (IAM ロール: ReportUploader) から、S3 バケット audit-data-store にログファイルを転送する仕組みを計画しています。
制約
1. インターネットゲートウェイ・NAT ゲートウェイ・パブリック IP を一切使わない
2. 通信を許可するのは該当 EC2 インスタンスのみ
3. そのほかの AWS サービスや外部ネットワークからのアクセスは拒否する

この要件を最も満たす構成はどれか。

あなたは TechFusion Ltd. のクラウドアーキテクトです。
Amazon EC2 インスタンス i-789xyz から Amazon RDS へ接続するためのデータベースパスワードを安全に扱う必要があります。要件は以下の通りです。
1. パスワードは AWS Systems Manager Parameter Store の SecureString として保存し、カスタマー管理 KMS キー arn:aws:kms:us-east-1:444455556666:key/techfusion-db-key で暗号化すること。
2. そのパラメータを取得できるのは i-789xyz に割り当てられたインスタンスプロファイルのみで、他の EC2、Lambda、ユーザーには認可しないこと。
3. 最小権限を徹底し、他のパラメータ名や KMS キーへのアクセスはブロックすること。

すべての要件を満たす設計として最も適切なものはどれか。

社内のセキュリティ基準では「EC2 にパブリック IP を割り当てない」「外部インターネットを経由させない」「運用コストを極力低減する」の 3 点が義務付けられている。プライベートサブネット内の EC2 インスタンスから、同じリージョンにある Amazon S3 バケットへファイルをアップロード／ダウンロードし、将来的に同リージョンの Amazon DynamoDB も参照する予定がある。月間データ転送量は約 11 TB と見積もられている。最も費用効率の高いネットワーク構成を選択せよ。

映像配信ベンチャーが AWS に 2 層アーキテクチャの新サービスを構築しています。
・フロントエンド EC2 インスタンス (SG-FE) はパブリックサブネットにあり、全世界のユーザーから HTTPS (TCP 443) でアクセスされる。
・バックエンドの MySQL インスタンス (SG-BE) はプライベートサブネットに配置し、フロントエンドからの TCP 3306 トラフィックだけを受け付けること。
・セキュリティグループは最小権限を遵守すること。
要件を満たすために不可欠なセキュリティグループルールを 2 つ選びなさい。