Q86 — AWS DEA-C01 第1章
第 86/100 問 | ← 第1章
データエンジニアは、Amazon EventBridgeイベントによって呼び出されるAWS Lambda関数を作成しました。データエンジニアがEventBridgeイベントを使用してLambda関数を呼び出そうとしたところ、「AccessDeniedException」メッセージが表示されました。 データエンジニアは、この例外をどのように解決すべきですか?
- A. Lambda関数の実行ロールの信頼ポリシーが、EventBridgeが実行ロールを引き受けることを許可していることを確認する。
- B. EventBridgeが使用するIAMロールとLambda関数のリソースベースポリシーの両方に必要な権限があることを確認する。 ✓
- C. Lambda関数が展開されているサブネットがプライベートサブネットとして構成されていることを確認する。
- D. EventBridgeのスキーマが有効であり、イベントマッピング構成が正しいことを確認する。
正解: B. EventBridgeが使用するIAMロールとLambda関数のリソースベースポリシーの両方に必要な権限があることを確認する。
解説
AWSサービス間の呼び出しにおける権限設定は、通常、呼び出し側のIAMポリシーと呼び出される側のリソースポリシーの二重認証を必要とします。AWSドキュメントによると、EventBridgeがLambdaを起動する場合、EventBridgeはlambda:InvokeFunction権限を持つIAMロールを必要とし、同時にLambda関数のリソースポリシーはEventBridgeサービス(events.amazonaws.com)による呼び出しを許可する必要があります。オプションAは誤りで、Lambda実行ロールの信頼ポリシーはLambdaサービス自体に関連付けられており、EventBridgeとは関係ありません。オプションCのネットワーク設定は、権限エラーの解決には関係ありません。オプションDのイベント構造の問題は、通常他の種類のエラーを引き起こします。正しいオプションBは、IAMロールとリソースポリシーの両方の権限要件に対応しています。