Q28 — AWS DVA-C02 第3章

第 28/100 問 | ← 第3章

開発者が、Amazon Elastic Container Service (Amazon ECS)およびApplication Load Balancer (ALB)を用いたWeb APIを構築しました。Amazon CloudFrontディストリビューションは、このAPIをWebクライアントのオリジンとして使用しています。アプリケーションは、承認ヘッダー内に無効なJSON Web Token (JWT)を含む多数の不正なリクエストを受け取っています。開発者は、未認証リクエストを処理するようにアプリケーションを拡張済みです。開発者は、APIに対する未認証リクエストの数を削減するために、どのようにすべきでしょうか?

正解: C. CloudFrontディストリビューションに対してCloudFront Functionを作成し、関数内の暗号化モジュールを用いてJWTを検証する。

解説

このシナリオでは、開発者はJWT検証による未認証リクエストの削減のために、追加のセキュリティ対策を導入する必要があります。APIがAmazon CloudFront経由でWebクライアントに提供されており、JWT検証の問題が既に発生していることを考慮すると、各選択肢を以下のように評価できます。Aは、承認ヘッダーの欠如時に401を返すのみであり、JWT検証自体には対応していません。Bは、JWT検証コンテナの追加という実装は可能ですが、CloudFrontディストリビューションにおけるJWT検証問題への直接的な対応ではありません。Cは、CloudFrontディストリビューションにFunctionを作成し、その中で暗号化モジュールを用いてJWTを検証するという手法であり、エッジ層での認証を実現し、バックエンドサーバーに到達する前に不正なリクエストをフィルタリングできるため、有効な解決策です。Dは、CloudFrontにLambdaカスタムオーソライザーを追加する方法もJWT検証に利用可能ですが、より多くの設定・統合作業を要します。したがって、最も直接的かつ効果的な解決策はCであり、CloudFrontディストリビューションにFunctionを導入することで、エッジ層にセキュリティ検証レイヤーを追加し、未認証リクエストを効果的に削減できます。 【灯笼考证提供:swufelp1999】