Q47 — AWS SAA-C03 第1章
第 47/65 問 | ← 第1章
Q47. ある企業が、新しいサーバーレスワークロードの展開を準備しています。ソリューションアーキテクトは、AWS Lambda関数を呼び出すためのアクセス許可を設定する必要があります。この関数はAmazon EventBridge(Amazon CloudWatch Events)ルールによってトリガーされます。アクセス許可は、最小権限の原則に従って設定する必要があります。 これらの要件を満たす解決策はどれですか?
- A. Lambda関数に実行ロールを追加し、アクションとしてlambda:InvokeFunction、プリンシパルとして*を指定します。
- B. Lambda関数に実行ロールを追加し、アクションとしてlambda:InvokeFunction、プリンシパルとしてService: events.amazonaws.comを指定します。
- C. Lambda関数にリソースベースポリシーを追加し、アクションとしてlambda:*、プリンシパルとしてService: events.amazonaws.comを指定します。
- D. Lambda関数にリソースベースポリシーを追加し、アクションとしてlambda:InvokeFunction、プリンシパルとしてService: events.amazonaws.comを指定します。 ✓
正解: D. Lambda関数にリソースベースポリシーを追加し、アクションとしてlambda:InvokeFunction、プリンシパルとしてService: events.amazonaws.comを指定します。
解説
Amazon EventBridge(CloudWatch Events)ルールによってトリガーされるAWS Lambda関数の呼び出しアクセス許可を、最小権限の原則に従って設定するには、Lambda関数にリソースベースポリシーを追加する必要があります。 この場合、推奨される解決策は、以下の構成でリソースベースポリシーを追加することです: ・アクション:lambda:InvokeFunction ・プリンシパル:Service: events.amazonaws.com 「lambda:InvokeFunction」をアクションとして指定することで、Lambda関数を呼び出すために必要な最小限の権限のみを付与できます。また、「Service: events.amazonaws.com」をプリンシパルとして指定することで、Lambda関数の呼び出しを許可する対象をEventBridge(CloudWatch Events)サービスに厳密に限定できます。 このアプローチにより、EventBridgeルールによるLambda関数の呼び出しに必要な適切なアクセスレベルが確保され、呼び出し元サービスに限定した最小限の権限付与という最小権限の原則が遵守されます。