CLF-C02#71(Security)
Amazon S3バケットに保存されている機密データへのアクセスに関するセキュリティベストプラクティスはどれですか?
正解:B
正解の根拠
EC2やLambdaなどがS3バケットへアクセスする場合は、長期アクセスキーをコードに埋め込まずIAMロールを使うのがベストプラクティスです。ロールはSTSによる短時間の一時認証情報を提供するため、漏洩時の影響範囲が小さく、ローテーション不要で最小権限の維持にも適しています。
S3 アクセス保護手段
| 手段 | 役割 |
|---|---|
| IAM ロール | 一時認証情報による安全なアクセス |
| バケットポリシー | リソース側のアクセス制御 |
| SSE-KMS | 保存データ暗号化 |
| VPC エンドポイント | プライベート経路でのアクセス |
不正解の理由
- A: CRRはリージョン間レプリケーションでDR/可用性目的、アクセス制御の手段ではありません。
- C: WAFはCloudFront/ALB配下のHTTP保護でS3直接アクセスのIAM制御には使えません。
- D: GuardDutyは脅威検知で、アクセス制御を実施するわけではありません。
コメント