→AWS RAMを使用
・CIDRのリストを含むVPCカスタマーマネージドプレフィックスリストを作成します。AWS Resource Access Manager(AWS RAM)を使用して、組織全体でプレフィックスリストを共有します。組織全体のセキュリティグループでプレフィックスリストを使用します
この選択肢が正解の理由は以下の通りです。
まず、CIDRのリストを含むVPCカスタマーマネージドプレフィックスリストを作成することで、CIDR範囲の管理が一元化でき、それぞれのセキュリティグループルールで個別にCIDR範囲を管理する必要がなくなります。これにより、新しいオフィスのCIDR範囲を許可したり、古いCIDR範囲を削除するといった更新が容易になります。
また、AWS Resource Access Managerを使用することで、作成したプレフィックスリストを組織内の複数のAWSアカウントで共有することができます。これにより、各ビジネスユニットが個別にプレフィックスリストの管理を行う必要がなくなります。
さらに、組織全体のセキュリティグループでプレフィックスリストを使用することにより、セキュリティグループルールの管理も一元化され、その管理の手間が最小限に抑えられます。
このように、この選択肢は管理オーバーヘッドの最小化とコスト効率の観点から適切なソリューションとなります。
選択肢:AWS管理プレフィックスリストを作成します。AWS Security Hubポリシーを使用して、組織全体でセキュリティグループの更新を実施します。AWS Lambda関数を使用して、CIDR範囲が変更されたときにプレフィックスリストを自動的に更新します
この選択肢が正しくない理由は以下の通りです。
AWS管理プレフィックスリストを作成は可能ですが、それを組織全体で共有する機能はありません。
また、AWS Security Hubはセキュリティアラートやチェックの統合・視覚化を目的としており、セキュリティグループのルール更新のような操作を行うためのサービスではありません。これらを比較すると、正解の選択肢では、VPCカスタマーマネージドプレフィックスリストとAWS RAMを使うことで一元的に管理を行うことが可能となります。そのため、不正解の選択肢は要件を満たす最善の方法とは言えません。
コメント