Q52 — AWS SAA-C03 第4章
第 52/105 問 | ← 第4章
Q247. ある企業が新しいビジネスアプリケーションを実装しています。このアプリケーションは2つのAmazon EC2インスタンスで実行され、ドキュメントの保存にAmazon S3バケットを使用します。ソリューションアーキテクトは、EC2インスタンスがS3バケットにアクセスできるようにする必要があります。この要件を満たすために、ソリューションアーキテクトは何を行うべきですか?
- A. S3バケットへのアクセスを許可するIAMロールを作成し、そのロールをEC2インスタンスにアタッチします。 ✓
- B. S3バケットへのアクセスを許可するIAMポリシーを作成し、そのポリシーをEC2インスタンスにアタッチします。
- C. S3バケットへのアクセスを許可するIAMグループを作成し、そのグループをEC2インスタンスにアタッチします。
- D. S3バケットへのアクセスを許可するIAMユーザーを作成し、そのユーザーアカウントをEC2インスタンスにアタッチします。
正解: A. S3バケットへのアクセスを許可するIAMロールを作成し、そのロールをEC2インスタンスにアタッチします。
解説
EC2インスタンスにAWSサービス(例:Amazon S3)へのアクセス権限を与えるには、IAMロールをインスタンスにアタッチする方法が推奨されます。IAMロールは、一時的なセキュリティ資格情報を提供し、長期的なアクセスキーを管理・ローテーションする必要がなく、セキュリティ面でも優れています。一方、IAMポリシーは単体ではエンティティ(ユーザー/ロール/グループ)にアタッチされるものであり、EC2インスタンスに直接アタッチすることはできません(オプションBは誤り)。IAMグループはIAMユーザーにアタッチするものであり、EC2インスタンスにはアタッチできません(オプションCは誤り)。IAMユーザーの資格情報をEC2インスタンスに埋め込むことはセキュリティリスクが高く、ベストプラクティスに反します(オプションDは誤り)。したがって、正解はオプションAです。