Q65 — AWS SAA-C03 第1章
第 65/65 問 | ← 第1章
Q65. ある企業が、Amazon API Gateway および AWS Lambda を使用するパブリックにアクセス可能なサーバーレスアプリケーションを運用しています。このアプリケーションのトラフィックは、ボットネットによる不正なリクエストによって最近急増しました。ソリューションズアーキテクトは、不正ユーザーからのリクエストをブロックするために、以下のうちどの手順を実施すべきでしょうか?(2つ選択)
- A. 本物のユーザーのみと共有される API キーを含む使用量プランを作成する。 ✓
- B. Lambda 関数内に不正なアドレスからのリクエストを無視するロジックを統合する。
- C. 悪意のあるリクエストを対象とする AWS WAF ルールを実装し、それらをフィルタリングするアクションをトリガーする。 ✓
- D. 既存のパブリック API をプライベート API に変換し、DNS レコードを更新してユーザーを新しい API エンドポイントへリダイレクトする。
- E. API へのアクセスを試みる各ユーザーごとに IAM ロールを作成する。ユーザーは API 呼び出し時にそのロールを引き受ける。
正解: A. 本物のユーザーのみと共有される API キーを含む使用量プランを作成する。, C. 悪意のあるリクエストを対象とする AWS WAF ルールを実装し、それらをフィルタリングするアクションをトリガーする。
解説
Amazon API Gateway および AWS Lambda を使用するサーバーレスアプリケーションにおいて、不正ユーザーからのリクエストをブロックするには、以下の2つの手順を実施すべきです。A:本物のユーザーのみと共有される API キーを含む使用量プランを作成する——使用量プランを設定し、有効な API キーを本物のユーザーにのみ配布することで、認証を強制し、API へのアクセスを制御できます。有効な API キーを持たない不正ユーザーは、リクエストを拒否されます。C:悪意のあるリクエストを対象とする AWS WAF ルールを実装し、それらをフィルタリングするアクションをトリガーする——AWS WAF(Web Application Firewall)は、一般的な Web 攻撃から保護し、悪意のあるリクエストをフィルタリングするために使用できます。AWS WAF ルールを適用することで、IP アドレス、HTTP ヘッダー、リクエストパターンなどの基準に基づき、ボットネットやその他の不正なソースからのリクエストを特定・ブロックできます。B(Lambda 関数内に不正アドレスからのリクエストを無視するロジックを組み込む)は、AWS WAF を活用する場合、カスタムロジックによるフィルタリングは不要であり、推奨されません。D(パブリック API をプライベート API に変更し、DNS レコードを更新して新エンドポイントへリダイレクト)および E(各ユーザーごとに IAM ロールを作成)は、不正ユーザーからのリクエストを直接ブロックすることとは関係ありません。D はアクセス制御の変更に関連し、E はユーザー認証・承認の手法に該当します。したがって、不正ユーザーからのリクエストをブロックするための適切な組み合わせは、A(API キー付き使用量プランの作成)および C(AWS WAF ルールの実装)です。