Q59 — AWS SAP-C02 第2章

第 59/75 問 | ← 第2章

Q209. ある企業は、Amazon S3 に格納されたデータレイクを、多数の AWS アカウントにまたがる数百のアプリケーションからアクセスする必要があります。同社の情報セキュリティポリシーでは、S3 バケットへのインターネット経由のパブリックアクセスを禁止し、各アプリケーションには機能に必要な最小限の権限のみを付与することと定められています。これらの要件を満たすため、ソリューションアーキテクトは、各アプリケーション専用の特定の VPC からのみアクセス可能な S3 アクセスポイントを使用する計画です。 このソリューションを実装するために、ソリューションアーキテクトが実行すべき手順の組み合わせはどれですか?(2つ選択)

正解: A. S3 バケットを所有する AWS アカウント内で、各アプリケーションごとに S3 アクセスポイントを作成します。 各アクセスポイントを、対応するアプリケーションの VPC のみからアクセス可能に設定します。 バケットポリシーを更新して、アクセスポイント経由でのアクセスを必須とします。, C. 各アプリケーションの VPC 内に Amazon S3 のゲートウェイエンドポイントを作成します。 エンドポイントポリシーを設定して、S3 アクセスポイントへのアクセスを許可します。 アクセスポイントにアクセスするために使用されるルートテーブルを指定します。

解説

正解は A および B です。オプション A では、S3 バケットを所有する単一の AWS アカウント内で各アプリケーション向けに S3 アクセスポイントを作成し、VPC 制限とバケットポリシーによるアクセス制御を適切に組み合わせています。オプション B では、各アプリケーションの VPC 内に Amazon S3 のインターフェースエンドポイント(PrivateLink 経由)を作成し、エンドポイントポリシーで特定の S3 アクセスポイントへのアクセスを許可しています。ただし、「VPC ゲートウェイアタッチメント」の記述は誤りであり、これは実際には存在しない概念です(正しくは「VPC エンドポイントの作成」および「エンドポイントポリシーの適用」)。したがって、B の記述は事実誤認を含みますが、出題意図としては「インターフェースエンドポイントの利用」が正解とされています。オプション C および E は、Amazon S3 ではゲートウェイエンドポイントがサポートされておらず、誤りです(S3 ではゲートウェイエンドポイントは利用できません)。オプション D は、複数の AWS アカウントにまたがって各アプリケーションごとにアクセスポイントを作成・アタッチするのは非現実的かつ管理が困難なため不適切です。