type
status
date
slug
summary
tags
category
icon
password
理論
AWS Control Towerは、複数のAWSアカウントを管理し、組織全体にわたるセキュリティとガバナンスを確保するためのサービスです。主に以下の機能を提供します:
- ランディングゾーン: 新しいAWSアカウントを安全にセットアップするためのベストプラクティスを提供します。これには、AWS Organizationsの設定や、必要なアカウント管理のためのベースラインが含まれます。
- ガードレール: AWS Control Towerは、組織のポリシーに従ったリソース管理を支援するために、「ガードレール」と呼ばれる管理制御を提供します。これにより、リソースの作成、変更、削除に対する制限が強化され、企業のセキュリティポリシーを実行できます。
- SCP(Service Control Policies): AWS Organizations内でサービスへのアクセスを制御するポリシーを設定できます。これにより、特定のアクション(例:EBSの暗号化)に対するアクセス制限を設けることができます。
- EBS暗号化: Amazon EBSの暗号化は、データを保存する際のセキュリティ対策の一環として重要です。EBSボリュームの暗号化は、データを保護し、規制遵守を助けます。AWSでは、EBSの暗号化を強制するためにAWS ConfigやAWS Organizationsを利用できます。
実践
略
一問道場
問題 #168
トピック 1
ある企業が開発用のAWSアカウントをいくつか持っており、現在の本番アプリケーションをAWSに移行する予定です。企業は、現在の本番アカウントと将来の本番アカウントに対してAmazon Elastic Block Store(Amazon EBS)の暗号化を強制する必要があります。企業は、組み込みのブループリントとガードレールを含むソリューションを必要としています。
これらの要件を満たすために必要なステップの組み合わせはどれですか?(3つ選んでください。)
A. AWS CloudFormation StackSetsを使用して、本番アカウントにAWS Configルールをデプロイする。
B. 既存の開発者アカウントで新しいAWS Control Towerランディングゾーンを作成し、アカウント用のOUを作成する。次に、本番アカウントと開発アカウントをそれぞれ本番OUと開発OUに追加する。
C. 企業の管理アカウントで新しいAWS Control Towerランディングゾーンを作成し、本番アカウントと開発アカウントをそれぞれ本番OUと開発OUに追加する。
D. 既存のアカウントをAWS Organizationsに招待して、SCPを作成し、コンプライアンスを確保する。
E. 管理アカウントでEBS暗号化を検出するガードレールを作成する。
F. 本番OUでEBS暗号化を検出するガードレールを作成する。
解説
この問題は、企業がAWS環境内でEBSの暗号化を強制するために必要な手順を選択する問題です。要件に基づいて、必要なステップを分析します。
選択肢の分析:
- A. AWS CloudFormation StackSetsを使用して、本番アカウントにAWS Configルールをデプロイする。
- 分析: CloudFormation StackSetsは複数のアカウントやリージョンにリソースを展開できるツールです。AWS Configを使用してEBS暗号化の監視を行うルールをデプロイすることは可能ですが、暗号化を強制する手段としては直接的ではないため、必須とは言えません。
- B. 既存の開発者アカウントで新しいAWS Control Towerランディングゾーンを作成し、アカウント用のOUを作成する。次に、本番アカウントと開発アカウントをそれぞれ本番OUと開発OUに追加する。
- 分析: AWS Control Towerは複数のアカウントを管理し、ガードレールを適用するためのサービスです。しかし、開発者アカウントではなく、管理アカウントでControl Towerをセットアップするべきです。したがって、このステップは誤りです。
- C. 企業の管理アカウントで新しいAWS Control Towerランディングゾーンを作成し、本番アカウントと開発アカウントをそれぞれ本番OUと開発OUに追加する。
- 分析: AWS Control Towerを使用して、ガードレールを設定してコンプライアンスを確保するためのステップです。管理アカウントでControl Towerをセットアップし、アカウントを適切な組織単位(OU)に追加することは正しいアプローチです。
- D. 既存のアカウントをAWS Organizationsに招待して、SCPを作成し、コンプライアンスを確保する。
- 分析: AWS OrganizationsでService Control Policies (SCP)を使用して、アカウントに対して暗号化ポリシーを強制することは可能です。これにより、SCPを利用してコンプライアンスを確保できます。
- E. 管理アカウントでEBS暗号化を検出するガードレールを作成する。
- 分析: Control Towerでは、ガードレールを使ってAWS環境のポリシーを管理します。EBS暗号化を強制するガードレールを作成することは、この問題の要件に合っています。
- F. 本番OUでEBS暗号化を検出するガードレールを作成する。
- 分析: 本番OUに対してガードレールを設定することは、EBS暗号化の適用を強制するために正しいアプローチです。
正解の組み合わせ:
- C. 企業の管理アカウントで新しいAWS Control Towerランディングゾーンを作成し、本番アカウントと開発アカウントをそれぞれ本番OUと開発OUに追加する。
- D. 既存のアカウントをAWS Organizationsに招待して、SCPを作成し、コンプライアンスを確保する。
- F
これらのステップは、企業の要件である「EBS暗号化を強制する」ための正しい手順を網羅しています。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/170d7ae8-88e2-80bb-9372-ea73efa202c5
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
