Q11 — AWS DVA-C02 第1章
第 11/100 問 | ← 第1章
ある開発者が、インターネット向けApplication Load Balancer(ALB)のHTTPSリスナーを通じて要求を受け付けるWeb APIを作成しました。開発者は、APIへのすべての要求がAmazon Cognitoユーザープールによって認証されるように設定しました。この要件を満たすために、開発者はどうすればよいですか?
- A. リスナーにルールを追加し、Authorizationヘッダーが欠落している場合に固定の401 Unauthorizedレスポンスを返す。
- B. ALBのリスナールールに認証アクションを作成する。ルールアクションタイプをauthenticate-cognitoに設定し、OnUnauthenticatedRequestフィールドを「deny」に設定する。 ✓
- C. Amazon API Gateway APIを作成する。すべてのAPIメソッドをALBエンドポイントに転送するよう設定する。COGNITO_USER_POOLSタイプのオーソライザーを作成し、各APIメソッドがそのオーソライザーを使用するよう設定する。
- D. 新しいターゲットグループを作成し、その中にAuthorizationヘッダーをAmazon Cognitoで検証するAWS Lambda関数を含める。このターゲットグループをリスナーに関連付ける。
正解: B. ALBのリスナールールに認証アクションを作成する。ルールアクションタイプをauthenticate-cognitoに設定し、OnUnauthenticatedRequestフィールドを「deny」に設定する。
解説
選択肢Bは、ALBのリスナールールに認証アクションを設定し、アクションタイプをauthenticate-cognitoとすることで、すべての要求をAmazon Cognitoによる認証を強制できます。また、OnUnauthenticatedRequestを「deny」に設定することで、未認証要求を拒否します。他の選択肢は、異なるアプローチを採用しており、Amazon Cognitoによる直接的な認証要件を満たしません。 【灯笼考证提供:swufelp1999】