Q3 — AWS DVA-C02 第2章

第 3/100 問 | ← 第2章

ある会社は、オンプレミスシステムに顧客IDカードのコピーを保持しています。この会社は、オンプレミスシステムからIDカード画像を直接Amazon S3バケットへアップロードしたいと考えています。 この要件を満たす最も安全なソリューションはどれですか?

正解: B. AWS SDKを用いて、画像をオンプレミスシステムから直接S3バケットへアップロードする。IAMロールを作成し、s3:PutObject権限を含むポリシーをアタッチする。オンプレミスシステムを、AWS SDKのAssumeRole機能を用いてAWSへのアクセス認証するように設定する。

解説

このソリューションが最も安全です。オンプレミスシステムからIDカード画像を直接S3バケットへアップロードしつつ、AWSリソースへのアクセスを安全かつ監査可能に保つことができます。IAMロールを用いることで、オンプレミスシステムに長期的なAWSアクセスキーまたはシークレットを保存する必要がなくなります。代わりに、AWS SDKのAssumeRole機能を用いて一時的な資格情報をAWSから取得できます。IAMロールには、特定のS3バケットへのアクセスおよびIDカード画像のアップロードに必要な権限のみを許可するポリシーを設定できます。選択肢Aは、長期アクセスキーを持つIAMユーザーを作成するため、セキュリティリスクが高く、オンプレミスシステムへのキー保管も問題があります。選択肢Cは、オンプレミスネットワークとVPC間のSite-to-Site VPN接続を必要とするため、ネットワークの複雑さと潜在的なセキュリティ脆弱性が増します。選択肢Dは、インターネットから誰でもアクセス可能なパブリックREST APIエンドポイントを使用するため、セキュリティリスクが高く、Amazon Cognitoによるユーザー作成も追加の複雑さを招きます。