Q23 — AWS SAA-C03 第1章
第 23/65 問 | ← 第1章
Q23. ソリューションアーキテクトは、Amazon S3で静的ウェブサイトをホストし、Amazon CloudFrontを使用するソリューションを設計する必要があります。企業のセキュリティポリシーでは、すべてのウェブサイトトラフィックをAWS WAFで検査することが必須とされています。この要件を満たすには、ソリューションアーキテクトが取るべき措置は何でしょうか?
- A. S3バケットポリシーを設定して、AWS WAFのAmazonリソースネーム(ARN)からのみリクエストを受け付けるようにする。
- B. Amazon CloudFrontを設定して、S3オリジンからコンテンツを取得する前に、すべての着信リクエストをAWS WAFに転送する。
- C. セキュリティグループを設定し、Amazon CloudFrontのIPアドレスからのみAmazon S3へのアクセスを許可する。また、AWS WAFをCloudFrontに関連付ける。
- D. Amazon CloudFrontおよびAmazon S3に対してオリジンアクセスアイデンティティ(OAI)を使用して、S3バケットへの直接アクセスを制限する。さらに、ディストリビューション上でAWS WAFを有効化する。 ✓
正解: D. Amazon CloudFrontおよびAmazon S3に対してオリジンアクセスアイデンティティ(OAI)を使用して、S3バケットへの直接アクセスを制限する。さらに、ディストリビューション上でAWS WAFを有効化する。
解説
S3への直接アクセスを防ぐため、コンテンツをCloudFrontレイヤーのみで公開する目的でOAIを活用します。また、リクエストを事前に検査するために、CloudFrontの直前にAWS WAFを配置します。