243-AWS SAP AWS 「理論・実践・一問道場」S3 Access Points
理論
以下に、S3エンドポイントとアクセスポイントの簡潔な違いを示します:
項目 | S3エンドポイント | S3アクセスポイント |
目的 | VPCからS3へのプライベートアクセス | アプリケーションやVPC単位でS3アクセスを管理 |
アクセス制御 | VPC内でアクセス制御 | 特定のVPCやアプリケーションにアクセス制御 |
複数VPC対応 | 1つのVPCのみ | 複数のVPC対応 |
使用例 | VPC内のリソースからS3にアクセス | 複数アプリケーションがS3にアクセスする場合 |
ポイント:
- エンドポイントはVPCからのアクセス用。
- アクセスポイントは複数VPCやアプリケーションにアクセス制御を提供。
実践
略
一問道場
ある企業がAmazon S3にデータレイクを持っており、そのデータレイクに複数のAWSアカウントから数百のアプリケーションがアクセスする必要があります。企業の情報セキュリティポリシーによると、S3バケットはインターネット越しにアクセスできないようにし、各アプリケーションには最小限の権限を付与する必要があります。これらの要件を満たすため、ソリューションアーキテクトは、各アプリケーションのために特定のVPCに制限されたS3アクセスポイントを使用することを計画しています。
このソリューションを実装するためにソリューションアーキテクトが取るべき手順の組み合わせはどれですか?(2つ選んでください)
A. 各アプリケーションのためにS3アクセスポイントを作成し、そのアクセスポイントをアプリケーションのVPCからのみアクセス可能に設定します。バケットポリシーを更新して、アクセスポイントからのアクセスを要求します。
B. 各アプリケーションのVPCにAmazon S3のインターフェースエンドポイントを作成し、エンドポイントポリシーを設定してS3アクセスポイントへのアクセスを許可します。S3エンドポイントにVPCゲートウェイアタッチメントを作成します。
C. 各アプリケーションのVPCにAmazon S3のゲートウェイエンドポイントを作成し、エンドポイントポリシーを設定してS3アクセスポイントへのアクセスを許可します。アクセスポイントにアクセスするために使用するルートテーブルを指定します。
D. 各AWSアカウントの各アプリケーションのためにS3アクセスポイントを作成し、それらのアクセスポイントをS3バケットに接続します。各アクセスポイントをアプリケーションのVPCからのみアクセス可能に設定し、バケットポリシーを更新してアクセスポイントからのアクセスを要求します。
E. データレイクのVPCにAmazon S3のゲートウェイエンドポイントを作成し、エンドポイントポリシーを設定してS3バケットへのアクセスを許可します。バケットにアクセスするために使用するルートテーブルを指定します。
解説
A. 各アプリケーションのためにS3アクセスポイントを作成し、そのアクセスポイントをアプリケーションのVPCからのみアクセス可能に設定します。バケットポリシーを更新して、アクセスポイントからのアクセスを要求します。
- S3アクセスポイントをVPCに制限することで、セキュアなアクセスを実現できます。バケットポリシーでアクセスポイントのみからアクセスを許可することもできます。
C. 各アプリケーションのVPCにAmazon S3のゲートウェイエンドポイントを作成し、エンドポイントポリシーを設定してS3アクセスポイントへのアクセスを許可します。アクセスポイントにアクセスするために使用するルートテーブルを指定します。
- ゲートウェイエンドポイントを使用して、アプリケーションのVPCから安全にS3アクセスポイントにアクセスする方法です。プライベート経由です。
この組み合わせが、要求されたセキュリティポリシーと最小限の権限付与を満たす解決策です。
- Author:minami
- URL:https://www.minami.ac.cn/private-license/173d7ae8-88e2-80c8-91ca-ce9b50bac753
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
