Q54 — AWS SAA-C03 第3章
第 54/65 問 | ← 第3章
Q184. ある企業は、医療試験の結果を Amazon S3 リポジトリに保存する必要があります。このリポジトリは、ごく少数の研究者が新しいファイルを追加できるようにする一方で、その他のすべてのユーザーには読み取り専用アクセスのみを許可しなければなりません。また、誰もリポジトリ内のファイルを変更または削除できないようにする必要があります。さらに、すべてのファイルは作成日から最低1年間はリポジトリ内に保持しなければなりません。これらの要件を満たすソリューションはどれですか?
- A. S3 Object Lock をガバナンスモードで使用し、1年間の法的拘束(legal hold)を設定する。
- B. S3 Object Lock をコンプライアンスモードで使用し、365日の保持期間(retention period)を設定する。 ✓
- C. IAMロールを使用して、すべてのユーザーがS3バケット内のオブジェクトを削除または変更することを禁止する。また、S3バケットポリシーを設定して、そのIAMロールのみがアクセスを許可されるようにする。
- D. S3バケットを設定して、オブジェクトが追加されるたびにAWS Lambda関数を呼び出すようにする。この関数では、保存されたオブジェクトのハッシュ値を追跡し、変更されたオブジェクトを適切にマークできるようにする。
正解: B. S3 Object Lock をコンプライアンスモードで使用し、365日の保持期間(retention period)を設定する。
解説
要件を満たすには、ファイルの不正な変更・削除を技術的に防止し、かつ最低1年間の保持を保証する必要があります。S3 Object Lock のコンプライアンスモードは、管理者権限を有するユーザーであっても、保持期間中はオブジェクトの削除・上書きを完全に禁止します(ガバナンスモードでは特定の権限を持つユーザーが解除可能)。保持期間を365日(=1年)と指定すれば、要件「最低1年間保持」を確実に満たします。選択肢Aのガバナンスモード+法的拘束(legal hold)は、保持期間の自動終了がない代わりに手動での解除が可能であり、要件「誰も変更・削除できない」を厳密には満たしません。選択肢CはIAMやバケットポリシーによるアクセス制御のみであり、権限のあるユーザーがポリシーを変更して削除・変更を行う可能性があり、不変性(immutability)を保証できません。選択肢Dは変更検知は可能ですが、変更そのものを防ぐことはできず、保持期間の保証もありません。したがって、正解はBです。