AIF-C01AI ソリューションのセキュリティ、コンプライアンス、ガバナンスMEDIUM単一選択

ある企業が複数の部門で Amazon Bedrock を利用する生成 AI アプリケーションを開発している。各部門が特定の基盤モデルのみを使用でき、他のモデルへのアクセスは禁止したい。最小限の管理負荷で実現する方法はどれか。

  1. A. 各部門に専用の AWS アカウントを発行して Organizations で管理し、それぞれのアカウントで別々に Bedrock の設定を行う
  2. B. Bedrock の使用量をモニタリングして、不正なモデルが使われた場合にアラートを出す
  3. C. 各部門のアプリケーションに対して、許可するモデルの ARN のみを Resource として指定した IAM ポリシーを作成し、対応する IAM ロールにアタッチする
  4. D. VPC エンドポイントを使って特定のモデルへのトラフィックのみを許可するネットワークルールを設定する
解答と解説を見る

正解: C

IAM ポリシーの Resource 要素に許可する Bedrock モデルの ARN を指定することで、特定のモデルのみ呼び出し可能に制限できる。これが最も管理負荷が低くシンプルな方法。DのVPCエンドポイントのネットワークルールはモデル単位の制御には対応しておらず、IAMほど細かい制御ができない。AのAWSアカウント分割は管理コストが大幅に増加し最小限の管理負荷という要件に反する。Bのモニタリングとアラートは事後検知であり、アクセスを事前に禁止する制御にはならない。

📚 関連サービスの解説: AWS IAM
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題