Q5 — AWS SAA-C03 第3章
第 5/65 問 | ← 第3章
Q135. ある企業は、データを Amazon S3 に保存する必要があり、そのデータが変更されないよう保護する必要があります。同社は、新しく Amazon S3 にアップロードされるオブジェクトについて、変更できない状態を「期間を特定しないまま」維持し、その後、企業が明示的に変更を許可するまでその状態を継続したいと考えています。また、オブジェクトの削除は、同社の AWS アカウント内で特定のユーザーのみが実行できるようにする必要があります。これらの要件を満たすために、ソリューションアーキテクトは何を行うべきでしょうか?
- A. S3 Glacier バルトを作成し、そのオブジェクトに書き込み一度・読み取り多数(WORM)のバルトロックポリシーを適用します。
- B. S3 Object Lock を有効化した S3 バケットを作成し、バージョニングを有効化します。保持期間を 100 年に設定し、新規オブジェクトに対するバケットのデフォルト保持モードとしてガバナンスモードを指定します。
- C. S3 バケットを作成します。AWS CloudTrail を使用して、オブジェクトを変更する S3 API イベントを追跡します。変更を検知した場合、企業が保持しているバックアップバージョンから変更されたオブジェクトを復元します。
- D. S3 Object Lock を有効化した S3 バケットを作成し、バージョニングを有効化します。オブジェクトに法的拘束(legal hold)を追加します。オブジェクトを削除する権限が必要なユーザーの IAM ポリシーに s3:PutObjectLegalHold 権限を追加します。 ✓
正解: D. S3 Object Lock を有効化した S3 バケットを作成し、バージョニングを有効化します。オブジェクトに法的拘束(legal hold)を追加します。オブジェクトを削除する権限が必要なユーザーの IAM ポリシーに s3:PutObjectLegalHold 権限を追加します。
解説
要件は「期間を特定しないままオブジェクトを変更不可に保つこと」と「特定のユーザーのみが削除可能であること」です。S3 Object Lock のガバナンスモードでは、保持期間を設定できますが、期間を「不特定(無期限)」にするには法的拘束(legal hold)が適しています。法的拘束は、明示的に解除されるまで永続的に有効であり、保持期間の設定を必要としません。また、法的拘束は、s3:PutObjectLegalHold 権限を持つユーザーのみが設定・解除でき、これにより削除権限を特定のユーザーに制限できます。オプション A は S3 Glacier バルトで WORM を実現しますが、これは S3 Glacier の機能であり、通常の S3 バケットへのアップロードには適用されません。オプション B は保持期間を 100 年と固定しており、「期間を特定しない」という要件に合致しません。オプション C は変更後の復元に依存しており、変更自体を防止しておらず、要件を満たしません。したがって、正解は D です。