Q12 — AWS SCS-C02 第1章

第 12/100 問 | ← 第1章

ある企業が、Amazon S3バケットからオブジェクトを取得するアプリケーションを所有しています。このアプリケーションはAmazon EC2インスタンス上で実行されます。 S3バケット内のすべてのオブジェクトは、AWS Key Management Service(AWS KMS)のカスタマーマネージドキーで暗号化されています。VPC内のリソースはインターネットにアクセスできず、ゲートウェイVPCエンドポイントを使用してAmazon S3にアクセスしています。 同社は、アプリケーションがS3バケットからオブジェクトを取得できないことを発見しました。 この問題の原因となる可能性がある要因はどれですか?(3つ選択)

正解: A. EC2インスタンスにアタッチされたIAMインスタンスプロファイルが、S3バケットに対するs3:ListBucketアクションを許可していません。, D. S3バケット内のオブジェクトを暗号化するKMSキーのポリシーが、EC2インスタンスプロファイルに対してkms:Decryptアクションを許可していません。, E. S3バケットポリシーが、ゲートウェイVPCエンドポイントからのアクセスを許可していません。

解説

AWS KMSキーのポリシーは、EC2インスタンスプロファイルがkms:Decryptアクションを実行できるよう許可する必要があります。IAMインスタンスプロファイルがs3:ListBucket権限を欠くと、バケット内容のリスト表示ができなくなります。S3バケットポリシーがゲートウェイVPCエンドポイントからのアクセスを明示的に許可していない場合、リクエストは拒否されます。選択肢AはIAM権限不足、DはKMS復号権限の欠如、EはバケットポリシーとVPCエンドポイントの互換性問題を表します。選択肢Cのkms:ListKeysアクションは復号操作には影響しません。選択肢Fでは、ゲートウェイVPCエンドポイントにはセキュリティグループのインバウンドルールは不要であり、インターフェイスエンドポイントのみが該当します。BのListPartsアクションは通常のオブジェクト読み取りとは無関係です。AWSドキュメントにおけるS3権限、KMSキーのポリシーおよびVPCエンドポイントのアクセス制御に関する記述を参照してください。