527-AWS SAP AWS 「理論・実践・一問道場」S3アクセスポイント

 

理論

S3アクセスポイントは特にVPC内でのアクセス管理に便利ですが、複数アカウント間でアクセスする際に直接必要とは言えません。このシナリオではVPCエンドポイントを使用する方が適切です。
別のAWSアカウントのVPCにおいて、EC2インスタンスからS3にアクセスするために、ゲートウェイVPCエンドポイントを作成することが必要です。これにより、インターネット経由ではなく、VPC内で直接S3にアクセスできます。

実践

一問道場

問題 #527
ある企業が多数のIoTデバイスからデータを収集しています。そのデータはAmazon S3データレイクに保存されています。データサイエンティストは、別のAWSアカウント内のVPCの2つのパブリックサブネットで実行されているAmazon EC2インスタンスで分析を行っています。データサイエンティストは、EC2インスタンスからデータレイクにアクセスする必要があります。EC2インスタンスには、すでにAmazon S3へのアクセス権限を持つロールが割り当てられています。企業のポリシーによれば、IoTデータにアクセスできるのは承認されたネットワークのみです。
この要件を満たすために、ソリューションアーキテクトが取るべき手順の組み合わせはどれですか?(2つ選択してください。)
A. データサイエンティストのVPCに対してAmazon S3のゲートウェイVPCエンドポイントを作成する。
B. データレイクのためにデータサイエンティストのAWSアカウントでS3アクセスポイントを作成する。
C. EC2インスタンスのロールを更新し、s3:GetObjectアクションを許可するポリシーを追加します。条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合に許可します。
D. VPCルートテーブルを更新し、S3トラフィックをS3アクセスポイントにルーティングする。
E. S3バケットポリシーを追加し、条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合にs3:GetObjectアクションを許可する。

解説

このシナリオにおける要件は、データサイエンティストが特定のネットワーク(すなわちVPC)からのみAmazon S3データレイクにアクセスできることです。そのため、最も重要な点はアクセスの制限です。ポリシーによって、特定のVPCのみがデータにアクセスできるようにする必要があります。解答を選ぶために要件を満たす方法を見ていきます。

選択肢の検討:

  • A. データサイエンティストのVPCに対してAmazon S3のゲートウェイVPCエンドポイントを作成する。
    • 正解です。 ゲートウェイVPCエンドポイントを使用することで、インターネットを経由せずに、VPC内から直接S3にアクセスすることができます。これにより、アクセスがネットワーク内に限定され、承認されたVPCからのみS3データレイクにアクセス可能になります。
  • B. データレイクのためにデータサイエンティストのAWSアカウントでS3アクセスポイントを作成する。
    • 不正解です。 アクセスポイントは特にVPC内からアクセスを管理するためのもので、必ずしもVPCエンドポイントを使用してアクセスを制限する要件には合いません。この場合、アクセスポイントは利用しない方がよいです。
  • C. EC2インスタンスのロールを更新し、s3:GetObjectアクションを許可するポリシーを追加します。条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合に許可します。
    • 不正解です。 s3:DataAccessPointArnの条件を追加することは、特定のアクセスポイント経由でのアクセスに制限するためのものですが、VPCに対するアクセス制限に必要なアクションではありません。この条件は必要ありません。
  • D. VPCルートテーブルを更新し、S3トラフィックをS3アクセスポイントにルーティングする。
    • 不正解です。 VPCのルートテーブルを更新してS3のトラフィックをアクセスポイントにルーティングすることは、必要な手順ではありません。エンドポイントで十分に管理できます。
  • E. S3バケットポリシーを追加し、条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合にs3:GetObjectアクションを許可する。
    • 正解です。 S3バケットポリシーにおいて、アクセスポイントARNを条件にアクセスを制限することで、特定のVPCまたはネットワークからのみアクセスできるようにすることが可能です。

結論

要件を満たすためには、以下の手順を取るべきです:
  • A: ゲートウェイVPCエンドポイントを作成することで、VPC内からインターネットを経由せずにS3にアクセスできるようにする。
  • E: S3バケットポリシーに条件を追加し、特定のアクセスポイントからのアクセスのみを許可する。
よって、正解は AE です。
Relate Posts
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
04-AWS SAP 「理論・実践・10問道場」
Lazy loaded image
05-AWS SAP「理論・実践・10問道場」
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator526-AWS SAP AWS 「理論・実践・一問道場」AWS IoT Core
Loading...
minami
minami
みなみの成長 🐝
Announcement

🎉 ブログへようこそ 🎉

名前: みなみ一人会社
性別:
国籍: China 🇨🇳
政治スタンス: 民主主義支持者
完全独学で基本情報技術者をはじめ、32個の資格を仕事をしながら取得。
現在はIT会社で技術担当として働きながら、ブログ執筆や学習支援にも取り組んでいます。
独学で合格できる学習法や勉強法、試験対策を発信中!

📚 発信内容

  • 💻 IT・システム開発
  • 🏠 不動産 × 宅建士
  • 🎓 MBA 学習記録
 
Catalog
0%