Q65 — AWS DVA-C02 第3章
第 65/100 問 | ← 第3章
ある企業は、AWS Lambda 関数と Amazon S3 トリガーを使用して、S3 バケットにアップロードされた画像を処理しています。開発チームは、単一の AWS アカウント内で複数の環境を設定しました。最近の本番環境へのデプロイ後、開発チームは開発用 S3 バケットからの呼び出しが本番環境の Lambda 関数を呼び出していることに気づきました。これらの呼び出しにより、本番環境の Lambda 関数が開発用 S3 ファイルを意図せず実行していました。開発チームは、このような呼び出しを阻止する必要があります。また、セキュリティ上のベストプラクティスに従う必要があります。 この要件を満たす解決策はどれですか?
- A. 本番環境 Lambda 関数の Lambda 実行ロールを更新し、実行ロールが本番環境 S3 バケットからのみ読み取りを許可するポリシーを追加します。
- B. 開発環境と本番環境を別々の AWS アカウントに移動します。各 Lambda 関数にリソースポリシーを追加し、同一アカウント内の S3 バケットからのみ呼び出しを許可します。
- C. 本番環境 Lambda 関数にリソースポリシーを追加し、本番環境 S3 バケットからのみ呼び出しを許可します。 ✓
- D. 開発環境と本番環境を別々の AWS アカウントに移動します。各関数の Lambda 実行ロールを更新し、同一アカウント内の S3 バケットからの読み取りを許可するポリシーを追加します。
正解: C. 本番環境 Lambda 関数にリソースポリシーを追加し、本番環境 S3 バケットからのみ呼び出しを許可します。
解説
開発用 S3 バケットが誤って本番環境 Lambda 関数を呼び出すことを防ぐには、Lambda 関数が予期された S3 バケットからのみ呼び出されるようにする必要があります。選択肢 A は Lambda 関数の読み取り権限のみを制限し、どの S3 バケットが関数をトリガーできるかを制限していません。選択肢 B は環境を分離しますが、追加されたリソースポリシーは同一アカウント内の任意の S3 バケットからの呼び出しを許可するため、誤った呼び出しを防げません。選択肢 D も Lambda 関数のトリガー元を制限していません。一方、選択肢 C は本番環境 Lambda 関数にリソースポリシーを追加し、本番環境 S3 バケットからのみ呼び出しを許可するものであり、問題を直接解決し、最小権限および本番・開発環境の分離というセキュリティ上のベストプラクティスに従っています。したがって、C が正解です。 【灯笼考证提供:swufelp1999】