Q73 — AWS DOP-C02 第3章
第 73/100 問 | ← 第3章
大規模企業がAWS上でWebアプリケーションをデプロイしています。このアプリケーションはApplication Load Balancerの背後でAmazon EC2インスタンス上で実行され、複数の可用性ゾーンにまたがるAuto Scalingグループで実行されます。アプリケーションは、Amazon RDS OracleデータベースインスタンスおよびAmazon DynamoDBにデータを保存します。開発、テスト、本番環境がそれぞれ独立しています。
- A. AWS Systems Manager SecureStringパラメータからAWSサービスへのアクセスキーを取得します。Systems Manager SecureStringパラメータからデータベース認証情報を取得します。
- B. AWSサービスへのアクセスにEC2 IAMロールを付与したEC2インスタンスを起動します。データベース認証情報をAWS Secrets Managerから取得します。 ✓
- C. AWS Systems ManagerのプレーンテキストパラメータからAWSサービスへのアクセスキーを取得します。Systems Manager SecureStringパラメータからデータベース認証情報を取得します。
- D. AWSサービスへのアクセスにEC2 IAMロールを付与したEC2インスタンスを起動します。データベースパスワードを暗号化された設定ファイルにアプリケーションアーティファクトとともに格納します。
正解: B. AWSサービスへのアクセスにEC2 IAMロールを付与したEC2インスタンスを起動します。データベース認証情報をAWS Secrets Managerから取得します。
解説
選択肢Bが最も安全かつ柔軟な方法です。EC2 IAMロールを付与したEC2インスタンスを起動することで、AWSサービスへのアクセス権限を必要な範囲に限定でき、セキュリティおよび権限管理の柔軟性が向上します。また、データベース認証情報をAWS Secrets Managerから取得することで、機密性の高いデータベース認証情報の保護が強化され、不正な漏洩や不適切なアクセスを防止できます。他の選択肢には一定のセキュリティリスクおよび柔軟性の不足があります。選択肢Aでは、Systems Manager SecureStringパラメータからアクセスキーを取得する方法は、EC2 IAMロールほど柔軟ではありません。選択肢Cでは、プレーンテキストパラメータからアクセスキーを取得することは大きなセキュリティリスクを伴います。選択肢Dでは、データベースパスワードを暗号化された設定ファイルにアプリケーションアーティファクトとともに格納することは、Secrets Managerからの取得に比べて安全性および柔軟性が劣ります。したがって、選択肢Bを選択します。