Question#49(SAA-C03)

ある企業は、Amazon EC2インスタンス上のAmazon Elastic Kubernetes Service（Amazon EKS）クラスタで動作するアプリケーションを運用しています。このアプリケーションは、Amazon DynamoDBを使用するUIと、Amazon S3を使用するデータサービスで構成されています。企業は、UI用のEKS PodがAmazon DynamoDBにのみアクセスでき、データサービス用のEKS PodがAmazon S3にのみアクセスできるようにする必要があります。企業はAWS Identity and Access Management（IAM）を使用しています。以下のどのソリューションが、これらの要件を満たしますか？

A. Amazon S3およびDynamoDBアクセス用の個別のIAMポリシーを作成し、必要な権限を付与します。両方のIAMポリシーをEC2インスタンスプロファイルにアタッチします。ロールベースアクセス制御（RBAC）を使用して、EKS PodごとのAmazon S3またはDynamoDBへのアクセスを制御します。
B. Amazon S3およびDynamoDBアクセス用の個別のIAMポリシーを作成し、必要な権限を付与します。Amazon S3 IAMポリシーをデータサービス用のEKS Podに直接アタッチし、DynamoDBポリシーをUI用のEKS Podにアタッチします。
C. UIおよびデータサービス用の個別のKubernetesサービスアカウントを作成し、IAMロールを引き受けるようにします。データサービスアカウントにAmazonS3FullAccessポリシーを、UIサービスアカウントにAmazonDynamoDBFullAccessポリシーをアタッチします。
D. UIおよびデータサービス用の個別のKubernetesサービスアカウントを作成し、IAMロールを引き受けるようにします。IAM Role for Service Accounts（IRSA）を使用して、UI用のEKS PodにAmazon S3へのアクセス、データサービス用のEKS PodにDynamoDBへのアクセスを提供します。

正解と解説ディスカッション 0

正解：D

このソリューションでは、UIおよびデータサービス用の個別のKubernetesサービスアカウントを作成し、IAM Role for Service Accounts（IRSA）を使用してIAMロールを引き受けますが、UI用のEKS PodにAmazon S3へのアクセスを、データサービス用のEKS PodにDynamoDBへのアクセスを提供すると記載されています。これは問題の要件と逆で、UIはDynamoDBに、データサービスはS3にアクセスする必要があります。IRSA自体はPodごとのアクセス制御に適していますが、誤った権限割り当てにより、アプリケーションの機能要件を満たせません。このため、要件を満たせず、適切ではありません。

Question#49(SAA-C03)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル