Q9 — AWS DOP-C02 第2章
第 9/100 問 | ← 第2章
ある企業が、Amazon API Gatewayを使用して新しいREST APIをデプロイしました。同社はこのAPIをデータへのアクセスに使用しており、APIへのアクセスは同社内の特定のVPCからのみ許可したいと考えています。
- A. API Gateway APIにアタッチするリソースポリシーを作成および適用します。リソースポリシーを設定して、特定のVPC IDのみを許可します。 ✓
- B. API Gateway APIにセキュリティグループを追加します。インバウンドルールを設定して、特定のVPCのIPアドレス範囲のみを許可します。
- C. API Gateway APIにアタッチするIAMロールを作成および適用します。IAMロールを設定して、特定のVPC IDのみを許可します。
- D. API Gateway APIにACL(アクセス制御リスト)を追加します。アウトバウンドルールを設定して、特定のVPCのIPアドレス範囲のみを許可します。
正解: A. API Gateway APIにアタッチするリソースポリシーを作成および適用します。リソースポリシーを設定して、特定のVPC IDのみを許可します。
解説
Amazon API Gatewayのリソースポリシーは、APIへのアクセスを制御するために使用され、`aws:SourceVpc`条件を設定することで、リクエスト元のVPCを制限できます。リソースポリシーは直接API Gatewayにアタッチされ、他のサービスに依存しません。セキュリティグループ(選択肢B)はEC2などのリソースのインバウンドトラフィック制御に使用され、API Gatewayには適用できません。IAMロール(選択肢C)はアイデンティティベースの権限管理を目的としており、ネットワークソースの制限には使用できません。ネットワークACL(選択肢D)はサブネットレベルのトラフィック制御に使用され、API Gatewayとは直接関連付けられません。AWS公式ドキュメントでは、VPCからのアクセス制限にはリソースポリシーが標準的な手法であると明記されています。したがって、選択肢Aが正しく、他の選択肢は技術的実装方法として不適切です。