Q52 — AWS SAA-C03 第4章

第 52/105 問 | ← 第4章

Q247. ある企業が新しいビジネスアプリケーションを実装しています。このアプリケーションは2つのAmazon EC2インスタンスで実行され、ドキュメントの保存にAmazon S3バケットを使用します。ソリューションアーキテクトは、EC2インスタンスがS3バケットにアクセスできるようにする必要があります。この要件を満たすために、ソリューションアーキテクトは何を行うべきですか?

正解: A. S3バケットへのアクセスを許可するIAMロールを作成し、そのロールをEC2インスタンスにアタッチします。

解説

EC2インスタンスにAWSサービス(例:Amazon S3)へのアクセス権限を与えるには、IAMロールをインスタンスにアタッチする方法が推奨されます。IAMロールは、一時的なセキュリティ資格情報を提供し、長期的なアクセスキーを管理・ローテーションする必要がなく、セキュリティ面でも優れています。一方、IAMポリシーは単体ではエンティティ(ユーザー/ロール/グループ)にアタッチされるものであり、EC2インスタンスに直接アタッチすることはできません(オプションBは誤り)。IAMグループはIAMユーザーにアタッチするものであり、EC2インスタンスにはアタッチできません(オプションCは誤り)。IAMユーザーの資格情報をEC2インスタンスに埋め込むことはセキュリティリスクが高く、ベストプラクティスに反します(オプションDは誤り)。したがって、正解はオプションAです。