Q63 — AWS SAA-C03 第4章

第 63/105 問 | ← 第4章

Q258. ある画像ホスティング会社は、オブジェクトをAmazon S3バケットに保存しています。同社は、S3バケット内のオブジェクトが誤って一般公開されるのを防ぎたいと考えています。AWSアカウント全体におけるすべてのS3オブジェクトは、常に非公開のままにしておく必要があります。これらの要件を満たすソリューションはどれですか?

正解: D. アカウントレベルで S3 Block Public Access 機能を有効化し、AWS Organizations を使用して、IAM ユーザーによるこの設定の変更を禁止するサービスコントロールポリシー (SCP) を作成します。この SCP を該当アカウントに適用します。

解説

AWS アカウント全体におけるすべての S3 オブジェクトを常に非公開のままにする必要があることが、この問題の本質です。したがって、単に「公開しない」状態を保ち、誰もその設定を変更できないよう保護することが最適なアプローチです。Amazon GuardDuty は S3 に関する潜在的な脅威を監視するものであり、あくまで事後的な対応(リアクティブ)です。AWS の設計原則では、常に予防的(プロアクティブ)なアプローチを優先すべきであり、情報が一般公開される可能性そのものを根本的に排除するためには、選択肢 D のように S3 Block Public Access をアカウントレベルで有効化し、SCP で設定変更を防止するのが最も適切です。