Q22 — AWS DVA-C02 第3章

第 22/100 問 | ← 第3章

開発者が新しいファイルストレージアプリケーションをテスト中で、Amazon CloudFrontディストリビューションを用いてAmazon S3バケットからコンテンツを配信しています。このディストリビューションは、オリジンアクセスアイデンティティ(OAI)を使用してS3バケットにアクセスしています。S3バケットのバケットポリシーは、OAI以外のすべてのユーザーのアクセスを拒否しています。アプリケーションは、ログインページでユーザーに認証を要求し、その後署名付きCookieを用いてユーザーの個人ストレージディレクトリへのアクセスを許可します。開発者は、デフォルトのキャッシュ動作および制限付きビューアアクセス権限を用いてディストリビューションを構成し、オリジンをS3バケットに設定しました。しかし、開発者がログインページにアクセスしようとすると、403 Forbiddenエラーが返されます。開発者は、未認証ユーザーがログインページにアクセスできるようにする解決策を実装する必要があります。この解決策は、プライベートコンテンツのセキュリティを保証しなければなりません。どの解決策がこれらの要件を満たしますか?

正解: A. デフォルトキャッシュ動作と同じオリジンを持つ第2のキャッシュ動作をディストリビューションに追加します。第2のキャッシュ動作のパスパターンをログインページのパスに設定し、ビューアアクセスを制限なしにします。デフォルトキャッシュ動作の設定は変更しません。

解説

403 Forbiddenエラーの原因:開発者が403 Forbiddenエラーを受け取るのは、CloudFrontディストリビューションがデフォルトでオリジンアクセスアイデンティティ(OAI)を使用しており、このOAIがログインページを含むS3バケット内のコンテンツにアクセスするのに十分な権限を持っていないためです。解決策の要件:未認証ユーザーがログインページにアクセスできるようにしつつ、プライベートコンテンツのセキュリティを確保する必要があります。選択肢Aの分析:第2のキャッシュ動作を追加することで、異なる設定とアクセス制御を定義できます。この第2のキャッシュ動作のパスパターンをログインページのパスに設定し、ビューアアクセスを制限なしにすることで、未認証ユーザーがログインページにアクセス可能になります。一方、デフォルトキャッシュ動作の設定を維持することで、プライベートコンテンツへのアクセスは引き続き認証を必要とし、セキュリティが保たれます。他の選択肢の検討:選択肢BおよびCは、デフォルトキャッシュ動作の挙動を変更するため、認証不要でプライベートコンテンツにアクセスできてしまう可能性があり、セキュリティ要件に反します。選択肢Dは、403エラーの根本原因を解決せず、また未認証アクセスの要件を満たしません。したがって、要件を満たす唯一の解決策は選択肢Aです。