Q7 — AWS SAP-C02 第3章
第 7/75 問 | ← 第3章
Q232. ある会社は、AWS Organizations を使用したマルチアカウント環境でアプリケーションを実行しています。営業チームとマーケティングチームは、それぞれ別々の AWS アカウントを使用しています。営業チームは Amazon S3 バケットにペタバイト規模のデータを保存しており、マーケティングチームはデータ可視化のために Amazon QuickSight を使用しています。マーケティングチームは、営業チームが所有するこの S3 バケット内のデータにアクセスする必要があります。また、当該 S3 バケットは AWS Key Management Service (AWS KMS) の暗号化キーで暗号化されています。マーケティングチームはすでに、QuickSight がマーケティングアカウント内で動作するための IAM サービスロールを作成済みです。会社は、AWS アカウント間で S3 バケット内のデータに安全にアクセスできるソリューションを必要としています。 これらの要件を満たす中で、**最も運用オーバーヘッドが少ない**ソリューションはどれですか?
- A. マーケティングアカウント内に新しい S3 バケットを作成します。営業アカウントで S3 レプリケーションルールを作成し、オブジェクトをマーケティングアカウントの新しい S3 バケットへコピーします。その後、マーケティングアカウント内の QuickSight の権限を更新して、新しい S3 バケットへのアクセスを許可します。
- B. S3 バケットへのアクセスをマーケティングアカウントに付与するための SCP(Service Control Policy)を作成します。AWS Resource Access Manager(AWS RAM)を使用して、営業アカウントの KMS キーをマーケティングアカウントと共有します。その後、マーケティングアカウント内の QuickSight の権限を更新して、S3 バケットへのアクセスを許可します。
- C. マーケティングアカウント内の S3 バケットポリシーを更新し、QuickSight ロールにアクセスを許可します。S3 バケットで使用されている暗号化キーに対して KMS グラントを作成し、QuickSight ロールに復号アクセスを許可します。その後、マーケティングアカウント内の QuickSight の権限を更新して、S3 バケットへのアクセスを許可します。
- D. 営業アカウント内に IAM ロールを作成し、S3 バケットへのアクセス権限を付与します。マーケティングアカウントから、営業アカウント内のこの IAM ロールを引き受け(assume)ることで S3 バケットにアクセスします。さらに、QuickSight ロールを更新して、営業アカウント内の新しい IAM ロールとの信頼関係(trust relationship)を確立します。 ✓
正解: D. 営業アカウント内に IAM ロールを作成し、S3 バケットへのアクセス権限を付与します。マーケティングアカウントから、営業アカウント内のこの IAM ロールを引き受け(assume)ることで S3 バケットにアクセスします。さらに、QuickSight ロールを更新して、営業アカウント内の新しい IAM ロールとの信頼関係(trust relationship)を確立します。
解説
正解は D です。営業アカウント内に IAM ロールを作成し、S3 バケットへのアクセス権限を付与します。マーケティングアカウントから、営業アカウント内のこの IAM ロールを引き受けることで S3 バケットにアクセスします。さらに、QuickSight ロールを更新して、営業アカウント内の新しい IAM ロールとの信頼関係を確立します。 選択肢 D は、マルチアカウント環境において、AWS アカウント間で S3 バケット内のデータに安全にアクセスするための、運用オーバーヘッドが最も少ないソリューションを提供します。 営業アカウント内で IAM ロールを作成し、S3 バケットへのアクセス権限を付与することで、マーケティングチームによるデータアクセスの制御・管理が可能になります。このアプローチは、細かい粒度でのアクセス制御および権限の集中管理を実現します。 マーケティングアカウントからは、AWS Identity and Access Management(IAM)を用いて営業アカウント内で作成された IAM ロールを引き受けることができます。これにより、マーケティングチームは自アカウントから直接アクセスしているかのように S3 バケットを利用でき、データの複製や転送を一切行う必要がありません。 また、QuickSight ロールを更新して営業アカウントの IAM ロールとの信頼関係を確立することで、QuickSight が S3 バケット内のデータに必要なアクセス権限を持つようになります。 このソリューションは、データの複製や暗号化キーの共有を伴わず、マーケティングチームが S3 バケット内のデータに安全かつシンプルにアクセスできる手段を提供します。さらに、集中型のアクセス制御を実現し、運用上の負荷を低減します。 総じて、IAM ロールと信頼関係を活用することで、マルチアカウント環境において最小限の継続的な運用オーバーヘッドで、S3 バケット内のデータへの安全なクロスアカウントアクセスが実現されます。