Q56 — AWS SAA-C03 第3章

第 56/65 問 | ← 第3章

Q186. ソリューションアーキテクトは、アプリケーションが Amazon RDS DB インスタンスにアクセスするために使用するデータベースユーザー名とパスワードを安全に保管する必要があります。このデータベースにアクセスするアプリケーションは Amazon EC2 インスタンス上で実行されます。ソリューションアーキテクトは、AWS Systems Manager Parameter Store にセキュアパラメータを作成したいと考えています。 この要件を満たすために、ソリューションアーキテクトは何を行うべきですか?

正解: A. Parameter Store のパラメータに対する読み取りアクセス権を持つ IAM ロールを作成します。また、そのパラメータの暗号化に使用される AWS Key Management Service (AWS KMS) キーに対する Decrypt アクセスを許可します。この IAM ロールを EC2 インスタンスにアタッチします。

解説

A. Parameter Store のパラメータに対する読み取りアクセス権を持つ IAM ロールを作成し、そのパラメータの暗号化に使用される AWS KMS キーに対する Decrypt 権限を付与したうえで、この IAM ロールを EC2 インスタンスにアタッチします。 この選択肢では、EC2 インスタンス上で実行されるアプリケーションが、Parameter Store に格納されたセキュアパラメータ(ユーザー名・パスワード)を安全に取得できるよう、適切な IAM ロールと KMS 暗号化キーへのアクセス権が設定されています。 選択肢 B では、IAM ポリシーを EC2 インスタンスに直接アタッチすることはできません(IAM ポリシーは IAM ユーザーまたはグループにアタッチされ、EC2 インスタンスには IAM ロールをアタッチします)。したがって、この方法ではアプリケーションがパラメータに安全にアクセスできないため不適切です。 選択肢 C では、Parameter Store のパラメータと EC2 インスタンスの間の信頼関係や、Amazon RDS をプリンシパルとする信頼ポリシーは技術的に存在せず、要件であるデータベース認証情報の安全な保管・利用とは無関係です。