T1-Q12: SageMakerの暗号化・安全な接続・監査はKMS/Session Manager/CloudTrailで三点固定する
SageMaker問題でS3暗号化とCloudWatch Logsに寄った誤答を、要件ごとのサービス責務へ分解する。
AWS SCS-C03 SageMaker KMS CloudTrail
対象誤答: T1 Q12 SAGEMAKER SECURITY TRIPOD
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | Amazon S3のサーバー側暗号化、VPCエンドポイント、Amazon CloudWatch Logsを組み合わせる。 |
| 正答 | AWS KMSカスタマーマネージドキー、Systems Manager Session Manager、CloudTrailでSageMakerを保護・監査する。 |
| 誤答の引力 | データ、接続、監査という3要件を1つの汎用ログ/ネットワーク構成に寄せてしまっている。 |
| 判断軸 | 保管時暗号化はKMS、ノートブックへの人のアクセスはSession Manager、API監査はCloudTrail。CloudWatch Logsはログ集約であり、API監査そのものではない。 |
この問題の芯
T1-Q12 は SageMaker のトレーニング/推論環境について、データ暗号化、ノートブックへの安全なアクセス、ジョブ/エンドポイントアクセスの監査を同時に満たす選択肢を問う問題。
あなたの誤答は S3暗号化、VPCエンドポイント、CloudWatch Logs。正答は KMSカスタマーマネージドキー、Systems Manager Session Manager、CloudTrail。
要件を3つに割る
| 要件 | 正しい主役 | 理由 |
|---|---|---|
| トレーニング/推論データの保管時暗号化 | KMS CMK | 鍵管理と監査の要件に乗る |
| ノートブックへの安全な人間アクセス | Session Manager | SSH鍵や踏み台を減らせる |
| ジョブ/エンドポイントアクセスの監査 | CloudTrail | SageMaker APIコールを記録する |
VPCエンドポイントは通信経路を閉じるには有効だが、この問題の「安全なアクセス」と「監査」の主語を満たし切っていない。CloudWatch Logs はログ保存・検索・アラーム化の道具で、API監査の主役はCloudTrail。
次回の秒殺ルール
問題文に複数要件がある時は、1つの選択肢が全部を満たすかを要件ごとに採点する。
SageMakerで「APIアクセス監査」が出たら CloudTrail。「ノートブックへ安全に入る」が出たら Session Manager。「鍵管理」が出たら KMS。
仕上げの一問一答
- この問題の主語は何か: SageMaker
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。