「Lv049」の記事一覧

Service Catalogで、ユーザーが起動できる製品（EC2など）のサイズ（インスタンスタイプ）を `t3.micro` のみに制限したい。IAMポリシーではなくService Catalogの機能でこれを行うには何を使いますか。

Systems Manager Session Managerのセッション履歴（ログ）をS3に保存し、そのログをKMSで暗号化したい。この場合、EC2インスタンス（IAMロール）に必要な権限は何ですか。

AWS Backupの「Vault Lock」をガバナンスモード（Governance Mode）で設定しました。このロック設定を変更・削除できるのは誰ですか。

OrganizationsのSCP（サービスコントロールポリシー）で、特定のリージョン（例：東京）以外でのリソース作成を禁止しました。しかし、IAMやRoute 53などのグローバルサービスが操作できなくなりました。原因は何ですか。

AWS Global Acceleratorを使用することで、セキュリティ上のメリット（オリジンの隠蔽）が得られます。具体的にはどのような仕組みですか。

AWS Shield Advancedを利用している場合、DDoS攻撃発生時にAWSの専門チーム（DRT）にWAFルールの作成や緩和措置を依頼できます。このDRTサポートを受けるために必要な設定はどれですか。

AWS Network FirewallでHTTPS通信の中身（ペイロード）を検査して不正なリクエストをブロックしたい場合、どの機能を使用しますか。

KMSのエンベロープ暗号化（Envelope Encryption）において、データを直接暗号化するのはどの鍵ですか。

S3 Object Lockの「リーガルホールド（Legal Hold）」と「リテンション期間（Retention Period）」の違いは何ですか。

IAMポリシーのCondition要素で `aws:SourceIp` を使用してアクセス制限を行う際、この条件が機能しない（意図通りに制限できない）ケースはどれですか。