Q49 — AWS SAA-C03 第1章

第 49/65 問 | ← 第1章

Q49. ある企業は、機密の監査文書を保存するために Amazon S3 を使用しています。この S3 バケットでは、最小権限の原則に従い、バケットポリシーを用いて監査チームの IAM ユーザー資格情報によるアクセスを制限しています。同社のマネージャーは、S3 バケット内の文書が誤って削除されるリスクを懸念しており、より安全なソリューションを求めています。監査文書を保護するため、ソリューションアーキテクトは何を行うべきでしょうか?

正解: A. S3 バケットでバージョニングおよび MFA Delete 機能を有効化する

解説

Amazon S3 バケットに保存された監査文書を保護し、誤った削除から守るには、オプション A(S3 バケットでバージョニングおよび MFA Delete 機能を有効化する)を選択すべきです。 このソリューションがセキュリティ強化に寄与する理由は以下のとおりです: 1. バージョニング:S3 バケットでバージョニングを有効化すると、オブジェクトに対するすべての変更や削除操作が、既存のオブジェクトを完全に削除するのではなく、新しいバージョンとして保存されます。これにより、誤った削除や変更が発生した場合でも、以前のバージョンの文書を容易に復元できます。 2. MFA Delete:MFA Delete 機能を有効化すると、S3 バケット内のオブジェクトを削除する際に、マルチファクタ認証(MFA)による追加の認証が必須になります。これにより、物理的に MFA デバイスにアクセスできる承認済みユーザーのみが削除操作を実行可能となります。 バージョニングと MFA Delete の両方を導入することで、以下のようなメリットが得られます: ・誤削除への対策:バージョニングにより、誤って削除された場合でも、以前のバージョンの文書を参照・復元することが可能です。これにより、データの追加的な保護層が提供され、永久的な損失リスクが低減されます。 ・細かい制御:MFA Delete により、たとえ不正な人物が IAM ユーザーの資格情報を入手したとしても、MFA 認証なしでは S3 バケット内のオブジェクトを削除できません。 オプション B は IAM ユーザー資格情報への MFA 有効化を提案していますが、これは単独では誤削除を防ぐものではありません。MFA はユーザーのログイン時における認証手段を強化するものであり、ユーザーが意図せずオブジェクトを削除することを阻止する機能はありません。 オプション C は、監査期間中のみ s3:DeleteObject アクションを拒否する S3 Lifecycle ポリシーの適用を提案しています。これは特定の期間における誤削除防止には役立ちますが、誤削除全般に対する包括的な保護策とはなり得ません。 オプション D は、AWS KMS を用いた S3 バケットの暗号化と、KMS キーへのアクセス制限を提案しています。暗号化は重要なセキュリティ対策ですが、文書の誤削除という課題には直接対応していません。