Q49 — AWS SCS-C02 第1章
第 49/100 問 | ← 第1章
ある企業は、AWS Organizationsで管理される組織内に複数のAWSアカウントを持っています。そのうち1つのアカウントにあるAmazon S3バケットがパブリックにアクセス可能になっています。 セキュリティエンジニアは、このS3バケットが今後パブリックにアクセス可能にならないよう設定を変更する必要があります。また、将来このS3バケットが再びパブリックにアクセス可能になることを防ぐ必要があります。 これらの要件を満たす解決策はどれですか?
- A. S3バケットをAWS Key Management Service (AWS KMS)キーを使用するように設定します。バケットポリシーを作成して暗号化を強制し、すべてのオブジェクトを暗号化します。OU(Organizational Unit)に含まれるAWSアカウントに対してs3:GetObjectアクションを拒否するサービスコントロールポリシー(SCP)を設定します。
- B. S3バケットでPublicAccessBlock設定を有効化します。OUに含まれるAWSアカウントに対してs3:GetObjectアクションを拒否するSCPを設定します。
- C. S3バケットでPublicAccessBlock設定を有効化します。OUに含まれるAWSアカウントに対してs3:PutPublicAccessBlockアクションを拒否するSCPを設定します。 ✓
- D. S3バケットをS3 Object Lockのガバナンスモードで設定します。OUに含まれるAWSアカウントに対してs3:PutPublicAccessBlockアクションを拒否するSCPを設定します。
正解: C. S3バケットでPublicAccessBlock設定を有効化します。OUに含まれるAWSアカウントに対してs3:PutPublicAccessBlockアクションを拒否するSCPを設定します。
解説
Amazon S3のPublicAccessBlock設定は、バケットまたはオブジェクトのパブリックアクセス権限が変更されるのを防止するために使用されます。この設定を有効化し、SCPでs3:PutPublicAccessBlock操作を拒否することで、現在のバケットがパブリックにアクセスできない状態を維持しつつ、将来的な権限変更も阻止できます。選択肢Cの手法は、バケットのパブリックアクセス状態を厳密に管理するための直接的な対策であり、他の選択肢は権限変更の制限に不十分であるか、暗号化やObject Lockといった関係のない機能を用いています。AWSドキュメントによると、PublicAccessBlockとSCPの組み合わせは、バケットのパブリックアクセス状態を厳格に管理するための推奨されるベストプラクティスです。