Q82 — AWS SCS-C02 第1章
第 82/100 問 | ← 第1章
ある企業には、Amazon S3、Amazon EC2、およびAWS Key Management Service (AWS KMS) を使用するバッチ処理システムがあります。このシステムは2つのAWSアカウント(アカウントAおよびアカウントB)を使用しています。アカウントAには、処理対象のオブジェクトおよび処理結果を格納するS3バケットがホストされています。すべてのS3バケットオブジェクトは、アカウントAで管理されるKMSキーで暗号化されています。アカウントBには、アカウントAのS3バケットにバケットポリシー内のステートメントを使用してアクセスするEC2インスタンスのセットを含むVPCがホストされています。このVPCはDNSホスト名およびDNS解決が有効化された状態で作成されています。セキュリティエンジニアは、システムのコードを変更せずにシステムの設計を更新する必要があります。バッチ処理用EC2インスタンスからのAWS API呼び出しは、インターネットを経由してはいけません。 これらの要件を満たす手順の組み合わせはどれですか?(2つ選択)
- A. アカウントBのVPC内に、Amazon S3用のゲートウェイVPCエンドポイントを作成します。このゲートウェイVPCエンドポイントに対して、S3バケットに対するs3:GetObject、s3:ListBucket、s3:PutObject、およびs3:PutObjectAclアクションを許可するリソースポリシーを作成します。
- B. アカウントBのVPC内に、Amazon S3用のインターフェイスVPCエンドポイントを作成します。このインターフェイスVPCエンドポイントに対して、S3バケットに対するs3:GetObject、s3:ListBucket、s3:PutObject、およびs3:PutObjectAclアクションを許可するリソースポリシーを作成します。 ✓
- C. アカウントBのVPC内に、AWS KMS用のインターフェイスVPCエンドポイントを作成します。このインターフェイスVPCエンドポイントに対して、KMSキーに対するkms:Encrypt、kms:Decrypt、およびkms:GenerateDataKeyアクションを許可するリソースポリシーを作成します。エンドポイントに対してプライベートDNSが有効になっていることを確認します。 ✓
- D. アカウントBのVPC内に、AWS KMS用のインターフェイスVPCエンドポイントを作成します。このインターフェイスVPCエンドポイントに対して、KMSキーに対するkms:Encrypt、kms:Decrypt、およびkms:GenerateDataKeyアクションを許可するリソースポリシーを作成します。エンドポイントに対してプライベートDNSが無効になっていることを確認します。
- E. アカウントBのVPC内で、S3バケットポリシーがクロスアカウント使用のためのs3:PutObjectAclアクションを許可していることを確認します。アカウントBのVPC内に、Amazon S3用のゲートウェイVPCエンドポイントを作成します。このゲートウェイVPCエンドポイントに対して、S3バケットに対するs3:GetObject、s3:ListBucket、およびs3:PutObjectアクションを許可するリソースポリシーを作成します。
正解: B. アカウントBのVPC内に、Amazon S3用のインターフェイスVPCエンドポイントを作成します。このインターフェイスVPCエンドポイントに対して、S3バケットに対するs3:GetObject、s3:ListBucket、s3:PutObject、およびs3:PutObjectAclアクションを許可するリソースポリシーを作成します。, C. アカウントBのVPC内に、AWS KMS用のインターフェイスVPCエンドポイントを作成します。このインターフェイスVPCエンドポイントに対して、KMSキーに対するkms:Encrypt、kms:Decrypt、およびkms:GenerateDataKeyアクションを許可するリソースポリシーを作成します。エンドポイントに対してプライベートDNSが有効になっていることを確認します。
解説
Amazon S3およびAWS KMSのVPCエンドポイント構成に関する問題です。AWS公式ドキュメントによると、S3にはゲートウェイVPCエンドポイント(Gateway VPC Endpoint)を使用し、KMSにはインターフェイスVPCエンドポイント(Interface VPC Endpoint)を使用します。選択肢BはS3エンドポイントのタイプを誤ってインターフェイスとしていますが、出題意図上はBとCが正解とされています。KMSについては、インターフェイスエンドポイントでプライベートDNSを有効化(選択肢C)することで、EC2インスタンスがデフォルトのKMSエンドポイントを使用でき、コード変更なしで動作します。選択肢Bは問題文または解答の誤りにより採用されていますが、実際にはゲートウェイエンドポイントが適切です。正解はBCであり、これは問題文で与えられた解答に基づいています。