Q16 — AWS SAA-C03 第4章

第 16/105 問 | ← 第4章

Q211. ある企業がアプリケーションをAWS上でホストしています。同社は、ユーザー管理にAmazon Cognitoを使用しています。ユーザーがアプリケーションにログインすると、アプリケーションはAmazon API GatewayでホストされているREST APIを介して、必要なデータをAmazon DynamoDBから取得します。同社は、開発工数を削減できるAWSマネージドなソリューションを用いて、このREST APIへのアクセスを制御したいと考えています。これらの要件を満たし、かつ運用オーバーヘッドが最も少ないソリューションはどれですか?

正解: D. API GatewayでAmazon Cognitoユーザープール承認者(authorizer)を設定し、各リクエストの検証をAmazon Cognitoに委任します。

解説

Amazon Cognitoユーザープール承認者は、API GatewayとAmazon Cognitoをネイティブ統合するAWSマネージドなソリューションであり、JWTトークンの検証やユーザー認証状態の確認を自動的に行います。これにより、カスタムLambda関数の作成・管理や、APIキーの発行・ローテーション、メールアドレスによる手動検証などの追加開発・運用作業が不要となり、運用オーバーヘッドが最小になります。他の選択肢(A、B、C)はいずれもカスタムロジックや追加コンポーネントを必要とし、保守負荷やセキュリティリスクが高まります。