Q83 — AWS DVA-C02 第2章

第 83/100 問 | ← 第2章

ある企業は、機密データを含むAmazon S3バケットを持っています。データは転送中および静止時において暗号化される必要があります。企業は、AWS Key Management Service(AWS KMS)のキーを使用してS3バケット内のデータを暗号化しています。開発者は、他のいくつかのAWSアカウントに対して、S3GetObject操作を通じてS3バケットからデータを取得する権限を付与したいと考えています。開発者は、データ取得リクエストがすべて転送中に暗号化されることを強制するにはどうすればよいですか?

正解: A. S3バケット上でリソースベースのポリシーを定義し、「aws:SecureTransport」が「false」であるリクエストを拒否します。

解説

データの転送中の安全性を確保するためには、すべてのデータ取得リクエストが暗号化された通信(例:HTTPS)経由で行われることを強制する必要があります。Amazon S3では、リソースベースのポリシーを定義することでこれを実現できます。「aws:SecureTransport」条件が「false」である場合、つまり安全な転送(HTTPSなど)を経由していないリクエストであることを意味し、この場合はアクセスを拒否すべきです。したがって、開発者はS3バケット上で、暗号化されていない転送リクエストを拒否するポリシーを設定する必要があります。選択肢Aはこの実装方法を正しく説明しています。