Q3 — AWS DVA-C02 第2章
第 3/100 問 | ← 第2章
ある会社は、オンプレミスシステムに顧客IDカードのコピーを保持しています。この会社は、オンプレミスシステムからIDカード画像を直接Amazon S3バケットへアップロードしたいと考えています。 この要件を満たす最も安全なソリューションはどれですか?
- A. AWS SDKを用いて、画像をオンプレミスシステムから直接S3バケットへアップロードする。IAMユーザーを作成し、s3:PutObject権限を含むポリシーをアタッチする。オンプレミスシステムを、生成されたアクセスキーとシークレットキーでAWSへのアクセス認証するように設定する。
- B. AWS SDKを用いて、画像をオンプレミスシステムから直接S3バケットへアップロードする。IAMロールを作成し、s3:PutObject権限を含むポリシーをアタッチする。オンプレミスシステムを、AWS SDKのAssumeRole機能を用いてAWSへのアクセス認証するように設定する。 ✓
- C. S3プリサインドURLを用いて、画像をオンプレミスシステムから直接S3バケットへアップロードする。AWS Lambda関数およびプライベートREST APIエンドポイントを用いてプリサインドURLを生成する。オンプレミスネットワークとVPCの間にAWS Site-to-Site VPN接続を作成し、オンプレミスシステムがAPIを呼び出してプリサインドURLを取得できるようにする。
- D. S3プリサインドURLを用いて、画像をオンプレミスシステムから直接S3バケットへアップロードする。AWS Lambda関数およびパブリックREST APIエンドポイントを用いてプリサインドURLを生成する。Amazon Cognito認証者を追加してAPIを保護し、オンプレミスシステムがAPIを呼び出してプリサインドURLを取得するために使用するユーザーを作成する。
正解: B. AWS SDKを用いて、画像をオンプレミスシステムから直接S3バケットへアップロードする。IAMロールを作成し、s3:PutObject権限を含むポリシーをアタッチする。オンプレミスシステムを、AWS SDKのAssumeRole機能を用いてAWSへのアクセス認証するように設定する。
解説
このソリューションが最も安全です。オンプレミスシステムからIDカード画像を直接S3バケットへアップロードしつつ、AWSリソースへのアクセスを安全かつ監査可能に保つことができます。IAMロールを用いることで、オンプレミスシステムに長期的なAWSアクセスキーまたはシークレットを保存する必要がなくなります。代わりに、AWS SDKのAssumeRole機能を用いて一時的な資格情報をAWSから取得できます。IAMロールには、特定のS3バケットへのアクセスおよびIDカード画像のアップロードに必要な権限のみを許可するポリシーを設定できます。選択肢Aは、長期アクセスキーを持つIAMユーザーを作成するため、セキュリティリスクが高く、オンプレミスシステムへのキー保管も問題があります。選択肢Cは、オンプレミスネットワークとVPC間のSite-to-Site VPN接続を必要とするため、ネットワークの複雑さと潜在的なセキュリティ脆弱性が増します。選択肢Dは、インターネットから誰でもアクセス可能なパブリックREST APIエンドポイントを使用するため、セキュリティリスクが高く、Amazon Cognitoによるユーザー作成も追加の複雑さを招きます。