Q57 — AWS SAA-C03 第2章

第 57/65 問 | ← 第2章

Q122. ある会社は、AWSの認証情報を持たない特定のユーザーに対してAmazon S3上のファイルを配信しています。これらのユーザーには、限定された期間のみアクセスを許可する必要があります。ソリューションアーキテクトは、これらの要件を安全に満たすために何を行うべきでしょうか?

正解: B. ユーザーと共有するための事前署名付きURL(presigned URL)を生成する。

解説

事前署名付きURL(presigned URL)は、一時的なアクセスを安全に提供するための標準的なAWSの手法です。これは、署名付きURLに含まれる署名と有効期限により、認証情報を持たないユーザーでも指定されたS3オブジェクトに一時的にアクセスできるようにします。オプションAはセキュリティリスクが高く、不正な公開アクセスにつながる可能性があるため不適切です。オプションCでは、KMSキーの管理や配布が複雑であり、ユーザーが暗号化されたファイルを復号するための追加のインフラや手順が必要になるため、単純な一時アクセス要件には過剰かつ非現実的です。オプションDは、IAMロールはAWSサービスやEC2インスタンスなどにアタッチされるものであり、外部の認証情報を持たないユーザーに直接割り当てることはできません(ユーザーがIAMユーザーまたはフェデレーテッドユーザーである必要があり、本問では「AWS credentialsを持たない」と明記されています)。したがって、正しい選択肢はBです。