AIF-C01#73(foundation-models)
ある企業は、Amazon Bedrock 上で基盤モデル(FM)を使用してチャットボットを作成したいと考えています。基盤モデルは、Amazon S3 バケットに保存されている暗号化されたデータにアクセスする必要があります。このデータは、Amazon S3 のマネージドキー(SSE-S3)で暗号化されています。 基盤モデルが S3 バケットのデータにアクセスしようとすると失敗します。 この要件を満たすソリューションはどれですか?
正解:A
正解の根拠
Bedrock が S3 のデータにアクセスする際は、Bedrock サービスが引き受ける IAM ロールに対し、対象 S3 バケットへの GetObject 権限と、暗号化に用いた KMS キー (SSE-KMS の場合は Decrypt 権限、SSE-S3 の場合は S3 経由の復号) が必要です。アクセス失敗時の正攻法は、ロールに正しい復号権限を付与することです。
S3 暗号化方式と権限
| 方式 | 必要権限 |
|---|---|
| SSE-S3 | S3 が透過復号、IAM の S3 権限 |
| SSE-KMS | kms:Decrypt も追加 |
| クライアント側暗号化 | アプリで復号 |
| 非暗号化 | 権限のみで OK |
不正解の理由
- B: 公開アクセス許可はセキュリティ上の重大な後退で、暗号化データの正規復号権限の問題を解決しません。
- C: プロンプトでモデルに探させても権限不足は解消されず、アクセス失敗の根本原因である IAM 設定の問題は残ります。
- D: 機密性の有無はアクセス権限とは独立で、暗号化されたオブジェクトを取得する仕組みそのものを直すわけではありません。
コメント