Q30 — AWS SCS-C02 第1章

第 30/100 問 | ← 第1章

セキュリティエンジニアは、静的ウェブサイトをホストするAmazon S3バケット向けにAmazon CloudFrontディストリビューションを設定する必要があります。セキュリティエンジニアは、指定されたIPアドレスからのみウェブサイトへのアクセスを許可しなければなりません。また、ユーザーがS3のURLを直接使用してウェブサイトにアクセスすることを防ぐ必要があります。 これらの要件を満たすソリューションはどれですか?

正解: B. CloudFrontオリジンアクセスコントロール(OAC)を作成します。S3バケットポリシーを設定して、OACのみがアクセスできるようにします。AWS WAF Web ACLを作成し、IPセットルールを追加します。このWeb ACLをCloudFrontディストリビューションに関連付けます。

解説

本問は、Amazon CloudFrontとS3のセキュリティ設定に関するもので、アクセス元IPの制限とS3 URLによる直接アクセスの防止が焦点です。AWSアーキテクチャのベストプラクティスによると、オリジンアクセスコントロール(OAC)とAWS WAFを組み合わせる必要があります。選択肢Bは、OACによりS3へのアクセスをCloudFrontのみに制限し、さらにWAFのIPルールでユーザーのIPを制限することで、2つの主要要件を満たします。選択肢AのS3ポリシーは、ユーザーのIPを正しく識別できません。なぜなら、CloudFrontエッジノードのIPがソースとして認識されるためです。選択肢Cは、セキュリティグループをS3に適用することはできません。選択肢Dのアクセスポイント方式は可能ですが標準的手法ではなく、OACはAWSが推奨する方法です。AWSドキュメントによると、CloudFront OACとWAFの協調利用は、このようなシナリオにおける標準的なソリューションです。