Q4 — AWS SAP-C02 第2章
第 4/75 問 | ← 第2章
Q154. ある企業は、リプラットフォーミング戦略を用いて、オンプレミスのデータセンターからAWSクラウドへの移行を最近完了しました。移行されたサーバーの1つには、重要なアプリケーションが依存するレガシーなSimple Mail Transfer Protocol(SMTP)サービスが実行されています。 このアプリケーションは、顧客向けに送信メールメッセージを送信します。そのレガシーSMTPサーバーはTLS暗号化をサポートしておらず、TCPポート25を使用しています。また、アプリケーションはSMTPのみをサポートしています。企業は、Amazon Simple Email Service(Amazon SES)を採用し、レガシーSMTPサーバーを廃止することを決定しました。企業はSESドメインを作成・検証済みであり、SESの制限も引き上げられています。 アプリケーションをAmazon SES経由でメールメッセージを送信できるように変更するには、企業は何を行うべきですか?
- A. アプリケーションを、TLS Wrapper(SSL/TLSラッパー)を使用してAmazon SESに接続するよう設定します。ses:SendEmailおよびses:SendRawEmail権限を持つIAMロールを作成し、そのIAMロールをAmazon EC2インスタンスにアタッチします。
- B. アプリケーションを、STARTTLSを使用してAmazon SESに接続するよう設定します。Amazon SESのSMTP認証情報を取得し、それらを使ってAmazon SESに対して認証を行います。 ✓
- C. アプリケーションを、SES APIを使用してメールメッセージを送信するよう設定します。ses:SendEmailおよびses:SendRawEmail権限を持つIAMロールを作成し、そのIAMロールをAmazon SESのサービスロールとして使用します。
- D. アプリケーションを、AWS SDKを使用してメールメッセージを送信するよう設定します。Amazon SES用のIAMユーザーを作成し、APIアクセスキーを生成して、そのアクセスキーでAmazon SESに対して認証を行います。
正解: B. アプリケーションを、STARTTLSを使用してAmazon SESに接続するよう設定します。Amazon SESのSMTP認証情報を取得し、それらを使ってAmazon SESに対して認証を行います。
解説
Amazon SESでは、SMTP経由でのメール送信には、専用のSMTPエンドポイントと、SESコンソールまたはAWS CLIで生成されるSMTP認証情報(ユーザー名/パスワード)が必要です。SES SMTPインターフェースは、STARTTLS(明示的TLS)をサポートしており、ポート587または465(SSL/TLSラッパー)で利用可能です。ただし、問題文では「アプリケーションはSMTPのみをサポート」と明記されており、APIやSDKによる送信(オプションC・D)は要件に合致しません。また、オプションAの「TLS Wrapper」はポート465を指しますが、SESではポート465のサポートは2023年以降段階的に廃止され、現在は推奨されておらず、公式ドキュメントではポート587(STARTTLS)が標準的なSMTP送信方法として推奨されています。さらに、IAMロールはEC2インスタンスなどにアタッチして一時的セキュリティ資格情報を提供するものであり、SMTP認証には使用できません(SMTP認証にはSESが発行する専用のSMTPパスワードが必要です)。したがって、正しい選択肢はBです。