Question#22(SAA-C03)

ある企業は、機密データファイルを含むAmazon S3バケットを持っています。企業は、オンプレミスのデータセンターで仮想マシン上で実行されるアプリケーションを運用しています。企業は現在、AWS IAM Identity Centerを使用しています。アプリケーションは、S3バケット内のファイルに一時的にアクセスする必要があります。企業は、アプリケーションにS3バケット内のファイルへの安全なアクセスを付与したいと考えています。以下のどのソリューションがこれらの要件を満たしますか？

A. 企業のオンプレミスデータセンターのパブリックIPアドレス範囲からのアクセスを許可するS3バケットポリシーを作成します。
B. IAM Roles Anywhereを使用して、IAM Identity CenterでS3バケットへのアクセスを許可するセキュリティ認証情報を取得します。AWS CLIを使用して仮想マシンがロールを引き受けるように構成します。
C. 仮想マシンにAWS CLIをインストールします。バケットへのアクセス権を持つIAMユーザーのアクセスキーでAWS CLIを構成します。
D. S3バケットへのアクセスを許可するIAMユーザーとポリシーを作成します。IAMユーザーのアクセスキーとシークレットキーをAWS Secrets Managerに保存します。アプリケーションが起動時にアクセスキーとシークレットキーを取得するように構成します。

正解と解説ディスカッション 0

正解：B

IAM Roles Anywhereを使用してIAM Identity CenterでS3バケットへのアクセスを許可する一時的な認証情報を取得し、仮想マシンでAWS CLIを構成する方法は、オンプレミス環境での信頼された証明書ベースの認証を活用し、短期有効の認証情報で安全にアクセスを管理、IAM Identity Centerとの統合により最小権限を実現し、運用オーバーヘッドが低く、要件を満たす最適なソリューションです。 IAM Roles Anywhereは、IAM Identity Centerと統合してオンプレミスの仮想マシンに一時的な認証情報を提供し、S3バケットへの安全なアクセスを最小権限で実現、証明書ベースの認証でセキュリティを強化し、アクセスキーの管理が不要なため、運用オーバーヘッドを最小限に抑えつつ機密データ保護の要件を満たします。

Question#22(SAA-C03)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル