Q32 — AWS DVA-C02 第3章
第 32/100 問 | ← 第3章
ある企業が、同一VPC内に複数のAmazon VPCエンドポイントを所有しています。開発者は、これらのVPCエンドポイント経由でのみS3バケットへのアクセスを許可するAmazon S3バケットポリシーを設定する必要があります。この要件を満たすソリューションはどれですか?
- A. 各VPCエンドポイントIDごとに複数のS3バケットポリシーを作成し、それぞれのポリシーでaws:SourceVpce値をStringNotEquals条件に使用する。
- B. 単一のS3バケットポリシーを作成し、そのポリシーでaws:SourceVpc値とVPC IDをStringNotEquals条件に使用する。
- C. 単一のS3バケットポリシーを作成し、そのポリシーでaws:SourceVpce値と「vpce*」ワイルドカードをStringNotEquals条件に使用する。
- D. 単一のS3バケットポリシーを作成し、そのポリシーでStringNotEquals条件に複数のaws:sourceVpce値を含める。すべてのVPCエンドポイントに対してこれを繰り返す。 ✓
正解: D. 単一のS3バケットポリシーを作成し、そのポリシーでStringNotEquals条件に複数のaws:sourceVpce値を含める。すべてのVPCエンドポイントに対してこれを繰り返す。
解説
選択肢Dは、すべてのVPCエンドポイントに対応するソリューションを提供します。これは、StringNotEquals条件内で各VPCエンドポイントに対応する複数のaws:sourceVpce値を明示的に指定することで、これらのVPCエンドポイントからのトラフィックのみを許可し、他のトラフィックを拒否するポリシーを実現します。他の選択肢では、AおよびCは単一のStringNotEquals条件しか使用しないため、複数のエンドポイントを網羅できません。Bはaws:SourceVpc値を使用していますが、これはVPCエンドポイントの制御ではなくVPC全体の制御であり、要件を満たしません。したがって、Dが最も要件に適合する選択肢です。 【灯笼考证提供:swufelp1999】