Q46 — AWS SAA-C03 第1章
第 46/65 問 | ← 第1章
Q46. ある企業が、機密性の高いユーザー情報を Amazon S3 バケットに格納しています。同社は、VPC 内の Amazon EC2 インスタンス上で実行されるアプリケーション層から、このバケットへ安全にアクセスできるようにしたいと考えています。ソリューションアーキテクトがこの目的を達成するために実施すべき手順の組み合わせはどれですか?(2つ選択)
- A. VPC 内に Amazon S3 の VPC ゲートウェイエンドポイントを設定する。 ✓
- B. S3 バケット内のオブジェクトをパブリックにするバケットポリシーを作成する。
- C. VPC 内で実行されるアプリケーション層からのみアクセスを許可するよう制限されたバケットポリシーを作成する。 ✓
- D. S3 アクセス権限を持つ IAM ユーザーを作成し、その IAM 資格情報を EC2 インスタンスにコピーする。
- E. NAT インスタンスを作成し、EC2 インスタンスがこの NAT インスタンス経由で S3 バケットにアクセスするようにする。
正解: A. VPC 内に Amazon S3 の VPC ゲートウェイエンドポイントを設定する。, C. VPC 内で実行されるアプリケーション層からのみアクセスを許可するよう制限されたバケットポリシーを作成する。
解説
機密性の高いユーザー情報が格納された Amazon S3 バケットに対して、VPC 内の Amazon EC2 インスタンス上で実行されるアプリケーション層から安全にアクセスするには、以下の手順を実施します。まず、VPC 内に Amazon S3 の VPC ゲートウェイエンドポイントを設定します。これにより、EC2 インスタンスはインターネットへのアクセスや NAT ゲートウェイを経由することなく、S3 に安全にアクセスできます。VPC エンドポイントは、VPC と S3 間のプライベート接続を提供し、データ転送を AWS ネットワーク内に留め、パブリックインターネットを経由しないように保証します。次に、VPC 内で実行されるアプリケーション層からのみアクセスを許可するバケットポリシーを作成します。バケットポリシーを活用することで、S3 バケットへのアクセス権限と制限を明示的に定義できます。本ケースでは、ポリシーを設定して、VPC 内の EC2 インスタンスに関連付けられた特定の IP 範囲またはセキュリティグループからのみアクセスを許可する必要があります。