Q23 — AWS SAP-C02 第1章

第 23/75 問 | ← 第1章

Q98. ソリューションズアーキテクトが、ある企業のAWS Lambda関数のセキュリティ設定を監査しています。このLambda関数は、Amazon Auroraデータベースから最新の変更を取得します。Lambda関数とデータベースは同じVPC内で実行されています。Lambdaの環境変数を通じてデータベースの認証情報をLambda関数に提供しています。 Lambda関数はデータを集約し、それをAWS KMS管理の暗号化キー(SSE-KMS)によるサーバー側暗号化が有効化されたAmazon S3バケットで利用可能にします。データはインターネットを経由して転送してはいけません。また、万が一データベースの認証情報が漏洩した場合、その影響を最小限に抑えるソリューションが必要です。 これらの要件を満たすために、ソリューションズアーキテクトは何を推奨すべきでしょうか?

正解: A. Aurora DBクラスターでIAMデータベース認証を有効化します。Lambda関数のIAMロールを変更し、IAMデータベース認証を用いてデータベースにアクセスできるようにします。VPC内にAmazon S3向けのゲートウェイVPCエンドポイントをデプロイします。

解説

これらの要件——Lambda関数のセキュリティ強化および漏洩したデータベース認証情報の影響を最小限に抑える——を満たすには、以下の推奨が最も適切です。 選択肢A:Aurora DBクラスターでIAMデータベース認証を有効化し、Lambda関数のIAMロールを変更してIAM認証によるデータベースアクセスを許可し、VPC内にAmazon S3向けのゲートウェイVPCエンドポイントをデプロイします。 理由: 1. IAMデータベース認証の有効化:これは、パスワードではなくAWS IAMユーザー/ロールを用いたAuroraデータベースへの認証を可能にします。これにより、Lambdaの環境変数に認証情報を格納する必要がなくなり、セキュリティが向上します。 2. Lambda関数のIAMロールの変更:Lambda関数に関連付けられたIAMロールを更新し、IAM認証によるAuroraへの安全なアクセスを許可します。これにより、環境変数に依存しない安全な認証が実現されます。 3. Amazon S3向けゲートウェイVPCエンドポイントのデプロイ:これにより、Lambda関数とS3バケット間のトラフィックがVPC内に留まり、インターネットを経由しなくなります。結果として、「データがインターネットを経由してはならない」という要件が満たされます。 選択肢B、C、Dは不適切です。 ・選択肢BはIAM認証とHTTPS強制を提案しますが、認証情報の安全な管理・保護という根本的な課題には対応していません。 ・選択肢CはParameter Storeを利用しますが、Secrets Managerと比べて機密情報の管理・アクセス制御機能が劣り、またS3向けゲートウェイエンドポイントはデータベース認証情報の保護とは無関係です。 ・選択肢DはSecrets Managerを用いた安全なシークレット管理を提供しますが、「データがインターネットを経由しない」という要件を満たしません(HTTPSのみではインターネット経由の通信を防げません)。 したがって、正解は選択肢Aです。これはパスワード不要の認証方式であり、S3とのデータ転送をVPCゲートウェイ経由で行うため、インターネット経由のトラフィックを完全に回避できます。