137-AWS SAP AWS 「理論・実践・一問道場」アカウント間暗号化S3 共有

type

status

date

slug

summary

理論

アカウント間で暗号化されたS3バケットへのアクセス方法

異なるAWSアカウント間で、暗号化されたS3バケットにアクセスするためには、適切な設定が必要です。以下の2つのポリシー設定を行うことで、他のアカウントのユーザーに必要なアクセス権を付与できます。

KMSキーのポリシーと対キーIAMロールの設定:

カスタムAWS Key Management Service（KMS）キーのポリシーを設定し、他のアカウントのIAMロールに復号（decrypt）権限を付与する必要があります。この設定により、戦略アカウントのユーザーが暗号化されたS3オブジェクトを復号してアクセスできるようになります。

S3バケットポリシーと対バケットIAMロールの設定:

S3バケットのポリシーで、読み取り（read）権限を戦略アカウントのIAMロールに付与します。これにより、戦略アカウントのユーザーはS3バケット内のオブジェクトにアクセスできるようになります。

これらの設定が行われていない場合、戦略アカウントのユーザーはAccess Deniedエラーを受け取ることになります。S3バケットのアクセス権とKMSキーの復号権限を適切に設定することで、他のアカウント間で安全にデータを共有できます。

実践

略

一問道場

問題#137

トピック1

あるデジタルマーケティング会社には、さまざまなチームに属する複数のAWSアカウントがあります。クリエイティブチームは、会社のマーケティングキャンペーン用のコンテンツとして使用する画像やメディアファイルを安全に保存するために、自分たちのAWSアカウントでAmazon S3バケットを使用しています。クリエイティブチームは、戦略チームがS3バケットのオブジェクトを表示できるように、S3バケットを戦略チームと共有したいと考えています。

ソリューションアーキテクトは、戦略アカウントに「strategy_reviewer」というIAMロールを作成しました。さらに、クリエイティブアカウントでカスタムAWS Key Management Service（AWS KMS）キーを設定し、そのキーをS3バケットに関連付けました。しかし、戦略アカウントのユーザーがIAMロールを引き受けてS3バケットのオブジェクトにアクセスしようとすると、「Access Denied（アクセス拒否）」エラーが表示されます。

ソリューションアーキテクトは、戦略アカウントのユーザーがS3バケットにアクセスできるようにする必要があります。ソリューションは、これらのユーザーに最小限の権限のみを付与する必要があります。

これらの要件を満たすために、ソリューションアーキテクトが実施すべきステップの組み合わせはどれですか？（3つ選んでください。）

A. S3バケットに対する読み取り権限を含むバケットポリシーを作成します。バケットポリシーのプリンシパルを戦略アカウントのアカウントIDに設定します。

B. strategy_reviewer IAMロールを更新して、S3バケットへのフルアクセス権限と、カスタムKMSキーに対する復号権限を付与します。

C. クリエイティブアカウントのカスタムKMSキーのポリシーを更新して、strategy_reviewer IAMロールに復号権限を付与します。

D. S3バケットに対する読み取り権限を含むバケットポリシーを作成します。バケットポリシーのプリンシパルを匿名ユーザーに設定します。

E. クリエイティブアカウントのカスタムKMSキーのポリシーを更新して、strategy_reviewer IAMロールに暗号化権限を付与します。

F. strategy_reviewer IAMロールを更新して、S3バケットへの読み取り権限と、カスタムKMSキーに対する復号権限を付与します。