みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

AWSにおけるセキュリティグループの管理は、複数のAWSアカウント間で共通のネットワークアクセス制御を一元的に行うために重要です。特に、IP CIDR範囲の管理を効率化する方法として、以下のポイントが本質的な知識となります。

1. カスタマーマネージドプレフィックスリスト

  • プレフィックスリストは、特定のIP範囲をセキュリティグループやネットワークACLに一元的に適用できるリストです。これを使うことで、CIDR範囲を各アカウントで手動で設定する必要がなくなります。
  • 利点: プレフィックスリストは複数のアカウントで共有できるため、一貫性が保たれ、管理が簡単になります。

2. AWS Resource Access Manager (RAM)

  • AWS RAMを利用すると、組織内でリソース(プレフィックスリストなど)を他のアカウントと安全に共有できます。これにより、セキュリティチームは一度の設定で他のアカウントにも最新のIP範囲を適用できます。

3. 運用負荷の最小化

  • 一元管理されたプレフィックスリストを使い、AWS RAMで簡単に共有することで、管理作業を効率化できます。これにより、セキュリティグループの設定や更新作業が自動化され、人的ミスのリスクも減少します。
これらのツールと手法を駆使することで、複数のAWSアカウントにまたがるネットワーク管理をシンプルかつ効率的に行えるようになります。

実践

一問道場

質問 #98

トピック 1
ある企業は、AWS Organizations を使用して多数の AWS アカウントを管理しています。ソリューションアーキテクトは、組織内の AWS アカウントで共通のセキュリティグループルールをより効率的に管理する方法を改善する必要があります。
企業は、オンプレミスネットワークへのアクセスを許可するために、各 AWS アカウントに共通の IP CIDR 範囲の許可リストを持っています。各アカウント内の開発者は、自分のセキュリティグループに新しい IP CIDR 範囲を追加する責任があります。一方、セキュリティチームは独自の AWS アカウントを持っており、現在、許可リストに変更が加えられるたびに他の AWS アカウントの所有者に通知しています。
ソリューションアーキテクトは、共通の CIDR 範囲セットをすべてのアカウントに配布するソリューションを設計する必要があります。この要件を満たしながら、運用の負荷を最小限に抑える必要があります。

どのソリューションが、最小限の運用負荷でこれらの要件を満たしますか?

A. セキュリティチームの AWS アカウントに Amazon SNS トピックを設定します。各 AWS アカウントに AWS Lambda 関数をデプロイします。SNS トピックがメッセージを受信するたびに Lambda 関数が実行されるように設定します。Lambda 関数が IP アドレスを入力として受け取り、そのアカウントのセキュリティグループリストに追加するように構成します。セキュリティチームに、変更を SNS トピックに公開するよう指示します。
B. 組織内の各 AWS アカウントで新しいカスタマーマネージドプレフィックスリストを作成します。各アカウントのプレフィックスリストにすべての内部 CIDR 範囲を入力します。各 AWS アカウントの所有者に、新しいカスタマーマネージドプレフィックスリスト ID をセキュリティグループで許可するよう通知します。セキュリティチームに、各 AWS アカウント所有者に更新を共有するよう指示します。
C. セキュリティチームの AWS アカウントに新しいカスタマーマネージドプレフィックスリストを作成します。そのプレフィックスリストにすべての内部 CIDR 範囲を入力します。AWS Resource Access Manager を使用して、組織全体でプレフィックスリストを共有します。各 AWS アカウントの所有者に、新しいカスタマーマネージドプレフィックスリスト ID をセキュリティグループで許可するよう通知します。
D. 組織内の各アカウントに IAM ロールを作成します。そのロールにセキュリティグループを更新する権限を付与します。セキュリティチームの AWS アカウントに AWS Lambda 関数をデプロイします。Lambda 関数が内部 IP アドレスのリストを入力として受け取り、各組織アカウントでロールを引き受け、その IP アドレスリストをセキュリティグループに追加するように構成します。

解説

この問題では、AWSアカウント間で共通のCIDR範囲を効率的に管理する方法を求めています。最適な解決策は C です。

解説:

  • C は、セキュリティチームのアカウントでカスタマーマネージドプレフィックスリストを作成し、AWS Resource Access Manager (RAM) を使って組織全体で共有します。この方法で、CIDR範囲の管理が一元化され、運用負荷が最小限に抑えられます。
他の選択肢は、手動での通知や複雑な設定が必要なため、運用負荷が高くなります。C が最も効率的で簡便です。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
099-AWS SAP AWS 「理論・実践・一問道場」Client VPN end point097-AWS SAP AWS 「理論・実践・一問道場」Count
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%