ドリル
模試で間違えた問題を、1問単位で深掘りするスーパー個別補強記事。
誤答IDベースの個別補強
`XXXX_awsscs` の不正解データから、統計ではなく具体的な誤答単位で記事化。
スーパー個別補強記事
T1-Q02: SCP最適化はTrusted AdvisorではなくIAM Access Analyzerで見る
SCPのベストプラクティス準拠を問われた問題で、Trusted Advisorを選んだ誤答をIAM Access Analyzerのポリシー検証まで分解する。
T1-Q03: SSE-C強制はStringNotEqualsではなくNull条件で未指定を潰す
S3 PutObjectでSSE-Cを必須化するSCP条件を、ヘッダー未指定ケースと条件キーの違いから深掘りする。
T1-Q05: LambdaログがCloudWatch Logsに無いならS3権限ではなく実行ロールを見る
Lambdaの実行ログが見つからない問題を、実行ロール、CloudWatch Logs、S3保存先の責務境界で切り分ける。
T1-Q06: us-east-1だけ許可するIAMはDeny + StringNotEqualsで作る
aws:RequestedRegionを使うリージョン制限ポリシーを、NotActionと条件演算子の逆転ミスから補強する。
T1-Q08: Identity Centerのカスタマーマネージドポリシーは各アカウントに同名で必要
Permission Setの割り当て失敗を、ポリシーロジック競合ではなく対象アカウント側の同名ポリシー有無で解く。
T1-Q12: SageMakerの暗号化・安全な接続・監査はKMS/Session Manager/CloudTrailで三点固定する
SageMaker問題でS3暗号化とCloudWatch Logsに寄った誤答を、要件ごとのサービス責務へ分解する。
T1-Q14: コスト効率のDDoS耐性はShield Advanced直行ではなくCloudFront + ELB + Auto Scalingから
DDoS対策問題でShield Advancedを選んだ誤答を、コスト効率とアーキテクチャ耐性の観点で切り直す。
T1-Q15: 数文字の大量Lambda機密値はSecrets ManagerよりParameter Store SecureString
Lambda環境変数の短い機密値を、コスト効率・ローテーション要件・IAM最小権限で切り分ける。
T1-Q16: 緊急パッチはPatch NowだけでなくSecurity分類のベースラインを先に作る
Patch Managerの即時適用問題を、デフォルトベースライン、Security分類、自動承認0日、S3証跡で整理する。
T1-Q17: S3 ABACはAllowだけでは足りない。条件なしAllowを明示的Denyで潰す
S3タグベース制御で、同一トラストゾーンやPutObject条件だけに寄った誤答をポリシー評価順序で補強する。
T1-Q18/T3-Q46: S3はGateway Endpoint、SQSはInterface Endpointで閉域化する
AWSサービスへのプライベート接続を、VPC PeeringやTransit Gatewayではなくエンドポイント種別で選ぶ。
T1-Q27: 全アカウントのCloudTrail統制はSCPで削除禁止よりOrganization Trailを先に作る
CloudTrail集中ログ保管でSCPによる削除禁止を選んだ誤答を、組織証跡の責務で切り直す。
T3-Q52: Glacier Vault Lockは24時間内ならabort-vault-lockでやり直せる
12時間前にinitiate-vault-lockした誤ったポリシーを、データ移行ではなくVault Lock状態遷移で修正する。
T3-Q53: SAML障害時のブレークグラスはSAMLロールではなくローカルIAMユーザー + Session Manager監査
SAMLフェデレーション障害時の緊急アクセスを、EC2キーペアやAssumeRoleWithSAMLではなく独立経路で設計する。
T3-Q65: GuardDuty全アカウント自動有効化はSecurity HubではなくGuardDuty委任管理者でやる
GuardDutyとSecurity Hubの責務混同を、検出エンジン管理とfinding集約の違いから補強する。
T3-Q64: 最小権限ポリシー生成はCloudTrail実績を取ってからAccess Analyzerで生成する
既存管理ポリシーを外してから生成しようとした誤答を、CloudTrailベースのAccess Analyzer policy generationで補強する。